Ningún sistema operativo es inmune a tener fallos de seguridad. Incluso aquellos de código abierto como Android se ven afectados por diversos fallos que se descubren constantemente a pesar de que hay miles de personas revisando su código. Aunque sistemas como Android sean cada vez más seguros, seguirá habiendo vulnerabilidades, y una compañía ha recopilado cuáles son las más graves que podemos sufrir.

Un investigador de ciberseguridad publicó recientemente los detalles y prueba de concepto sobre una vulnerabilidad zero-day sin parches en phpMyAdmin, una de las aplicaciones más populares para administrar bases de datos MySQL y MariaDB.

El investigador Tal Melamed, director de seguridad y hacking ético de Protego, ha descubierto que es posible vulnerar aplicaciones instaladas en Alexa mediante la técnica de inyección SQL (SQLi en inglés) si éstas no realizan una correcta validación de datos . Lo único que tendría que hacer el usuario malicioso sería ejecutar comandos por voz (en lugar de por teclado, como es lo usual) utilizando traducciones de texto para obtener acceso a las aplicaciones con fallas de seguridad y que contienen información sensible.

La firma de seguridad AdaptiveMobile Security ha descubierto una nueva vulnerabilidad crítica llamada Simjacker que afecta a nuestros móviles revelando nuestra ubicación, pero que lo hace de una forma muy especial. No es un problema específico de Android, iOS o cualquier otra plataforma móvil, sino de las tarjetas SIM que utilizamos en cualquiera de estos terminales. Su alcance por tanto es enorme, y lo peor es que los usuarios no podemos hacer nada por solucionarlo: solo las operadoras pueden atajar el problema.

Firefox Monitor nació hace unos meses como un nuevo servicio de Mozilla que nos permite conocer si nuestras cuentas de correo se han visto comprometidas en alguna de las muchas filtraciones de datos que ocurren a diario. Debido a que Mozilla ha decidido incorporarlo en la versión 69 de Firefox, vamos a conocer mas a fondo esta herramienta que puede alertarnos y ayudar a proteger nuestra privacidad.

Steam es usado por decenas de millones de gamers en todo el mundo. La plataforma de juegos es la más popular en PC, por lo que una vulnerabilidad en ella puede ser realmente peligrosa; sobre todo porque muchos usuarios tienen asociadas sus cuentas de PayPal o tienen dinero como saldo. Ahora, tras descubrirse un fallo hace dos semanas, ahora se ha descubierto uno igual de grave.

El jailbreak parecía algo extinto en los iPhone, ya que iOS se ha vuelto cada vez más cerrado y seguro. Sin embargo, un gravísimo descuido por parte de Apple ha hecho que una vulnerabilidad haya sido “desparcheada” y los hackers hayan conseguido hacerle jailbreak a los móviles actuales con la última versión de iOS 12.4.

Se han descubierto 4 nuevas vulnerabilidades en el servicio RDP de Microsoft ( CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 y CVE-2019-1226) que permite la ejecución de código remoto similar a la vulnerabilidad recientemente parechada BlueKeep. Pueden ser explotadas por atacantes remotos no autenticados para tomar el control sin que sea necesaria la interacción del usuario.

Se ha descubierto una vulnerabilidad no parcheada aún en el entorno de escritorio KDE. Afecta a las versiones 4 y 5 (KDE Plasma), y la víctima solamente necesita abrir un directorio para que el comando malicioso sea ejecutado. La vulnerabilidad se produce gracias a los ficheros «.directory», que son ficheros similares a los ficheros «desktop.ini» de Windows. En estos ficheros se especifican diferentes variables de configuración para el directorio en el que se encuentran.

A principios de julio, LibreOffice lanzó la versión 6.2.5, que aborda dos vulnerabilidades graves (CVE-2019-9848 y CVE-2019-9849). Sin embargo, según afirma el investigador de seguridad Alex Inführ, el parche para la primera vulnerabilidad ha sido omitido. La vulnerabilidad CVE-2019-9848, que aún existe en la versión más reciente, está relacionada con LibreLogo, un script de gráficos vectoriales que se envía de forma predeterminada con LibreOffice.

Cisco vendió su suite VSM a agencias gubernamentales de Estados Unidos, sabiendo que el software contaba con vulnerabilidades críticas que permiten acceso no autorizado a hackers.

Un nuevo fallo de seguridad crítico afecta al popular reproductor multimedia VLC, con una puntuación alta, la vulnerabilidad ha sido categorizada como crítica, y aunque se está trabajando en una solución de momento no hay parches disponibles.

La vulnerabilidad residía en el firmware de los productos de almacenamiento de Lenovo-EMC, también conocida como Iomega, la cual podría permitir a un usuario no autenticado acceder a archivos en recursos compartidos del NAS a través de la API, permitiendo la descarga de los mismos. La filtración, según el informe de Vertical Structure, expone que se han filtrado aproximadamente 13 mil archivos de hoja de cálculo, con un peso estimado de 36 TB. En ellos se encontraba fundamentalmente información financiera con números de tarjetas.

El malware ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos. La muestra de EvilGnome que se descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargó en línea por error.

Las imágenes que se guardan en Google Fotos y que se comparten previamente con usuarios individuales generan un enlace que es semipúblico al que puede acceder cualquier usuario, a menos que ese enlace sea eliminado de forma manual. Según ha publicado el experto en tecnología Robert Wiblin, la plataforma de Google que permite almacenar

La publicación informática alemana C'T ha podido confirmar que los receptores inalámbricos Unifying utilizados por Logitech están afectados por un gran número de vulnerabilidades, algunas particularmente graves, que permiten llevar a cabo toda clase de fechorías en los ordenadores dotados con uno de estos periféricos. El investigador Marcus Mengs, responsable de la detección de dichos fallos, avisaba de ello hace varios días al publicar el calendario de divulgación de vulnerabilidades.

La información en la base de datos - expuesta a Internet sin ninguna contraseña - pertenecía a Orvibo, una compañía china que administra una plataforma de administración de dispositivos domésticos inteligentes (cerraduras inteligentes, cámaras) e incluye: direcciones de correo electrónico, contraseñas, geolocalización precisa, dirección IP, nombre de usuario, ID de usuario, nombre e identificación de la familia, dispositivo inteligente, dispositivo al que se accedió cuenta, información de programación y códigos de restablecimiento de cuenta.

Los productos fabricados por el gigante chino de telecomunicaciones Huawei contienen una serie de defectos que lo hacen más vulnerable a los ataques cibernéticos que sus competidores, según un nuevo estudio (pdf) realizado por expertos en ciberseguridad.Los productos fabricados por el gigante chino de telecomunicaciones Huawei contienen una serie de defectos que lo hacen más vulnerable a los ataques cibernéticos que sus competidores, según un nuevo estudio realizado por expertos en ciberseguridad.

Hace aproximadamente un mes Cfir Cohen, miembro del equipo de seguridad de Google Cloud, avisó a AMD de un problema con la funcionalidad de virtualización encriptada segura (SEV) de los procesadores Epyc. Esta vulnerabilidad podría permitir a un atacante interceptar una clave secreta que podría dar acceso a máquinas virtuales aisladas. Esta vulnerabilidad específica ha sido parcheada pero requería una actualización del firmware.

El Internet de las cosas se está descubriendo como una red de dispositivos tremendamente vulnerables a ataques. En los últimos años hemos conocido varios ataques masivos contra este tipo de dispositivos que incluso se están utilizando como una botnet para otros menesteres aún más preocupantes. Ahora, acabamos de conocer más sobre la nueva amenaza Silex, el virus creado por un adolescente de 14 años que infecta miles de dispositivos y que podría ser el próxima gran quebradero de cabeza de los usuarios.