Oracle, la compañía especializada en el desarrollo de soluciones en la nube y locales, ha publicado 301 actualizaciones de seguridad para resolver 280 nuevas vulnerabilidades identificadas en un centenar de sus productos. En general, una gran mayoría (el 60%) permiten la explotación remota sin autenticación y, por lo tanto, tienen una base potencial de atacantes más amplia que el resto. Además, 49 del total son críticas, y 46 de ellas tienen una criticidad muy próxima a la máxima puntuación (CVSS de 9,8).

Una vulnerabilidad crítica de tipo bypass de autenticación en libssh, una librería que implementa el protocolo de autenticación de SHH, permite el acceso en remoto sin credenciales en la consola, incluso llegando al compromiso completo de los servidores afectados. Las versiones afectadas de libssh llegan hasta la 0.6.0, publicada hace más de 4 años.

Microsoft lanza un parche incompleto para la vulnerabilidad CVE-2018-8423 de JET (es motor de base de datos creado por Microsoft). Al estar JET en todas las versiones de Windows, esta vulnerabilidad permite realizar un compromiso completo y remoto del sistema de un usuario. Hasta el momento ni Microsoft ni 0Patch han visto intentos de aprovechar esta vulnerabilidad, pero eso no quiere decir que podamos ver alguno en los próximos días

WPA2 fue hackeado el año pasado, y el pasado mes de agosto fue descubierta una nueva vulnerabilidad en el protocolo que se basaba en el método anterior, y lo hacía bastante más fácil. Cuando parecía que esas dos iban a ser las únicas vulnerabilidades del WiFi y que iban a ser solucionadas con WPA3, ahora unos investigadores de la Universidad de California en Riverside, han descubierto una nueva vulnerabilidad presente en todos los routers WiFi.

Tras estrenar su nueva versión ayer mismo, llegan malas noticias para Google Chrome. Se ha detectado un fallo de seguridad en el navegador que expone las redes WiFi de millones de hogares, según unos investigadores británicos. Con unos pasos, se puede tener acceso a una red inalámbrica de usuarios que usen Chrome u Opera como su navegador.

Millones de redes Wi-Fi en todo el mundo podrían ser vulnerables a ataques. Esto es debido a una vulnerabilidad que han encontrado en los navegadores basados en Chromium. Aquí debemos de mencionar a Google Chrome o a Opera, ya que son los más conocidos, pero hay otros muchos. Esto afecta a las redes incluso aunque estén protegidas por contraseñas seguras. El motivo es una vulnerabilidad encontrada en estos navegadores, en la manera en la que manejan las contraseñas guardadas.

Una vez más WhatsApp está en el punto de mira de los cibercriminales. Y es que, tal y como ha revelado el equipo de expertos de Check Point una vulnerabilidad en la plataforma de mensajería instantánea permite a los ciberdelincuentes interceptar y manipular los mensajes enviados en un grupo o conversación privada. ¿Qué pueden conseguir con esto?

Es posible averiguar cualquier contraseña de ocho caracteres de longitud en 4,7 días.

Kaspersky Lab elabora cada trimestre un informe sobre los diferentes ataques DDoS que se llevan a cabo en la red. En el segundo trimestre de 2018 han descubierto interesantes tendencias, donde se ha visto que han aumentado considerablemente los ataques que se aprovechan de vulnerabilidades antiquísimas en nuestros dispositivos.

Investigadores de seguridad de la Universidad de Tecnología de Graz, han descubierto NetSpectre, un nuevo exploit totalmente basado en la red, que puede permitir a los atacantes leer la memoria de una máquina remota sin ejecutar ningún programa en esa máquina. Esto es algo muy importante, puesto que hasta ahora las posibilidades de aprovechar las vulnerabilidades Stectre de forma remota eran mínimas.

La alerta lanzada por el INCIBE agrupa a los usuarios de las principales tecnológicas. Los más afectados en este caso son Apple, Broadcom, Intel y Qualcomm. La única que se salva son los dispositivos Microsoft. Google, Android y Linux aún no han confirmado la existencia de la vulnerabilidad, pero están bajo sospecha.

Oracle ha publicado hasta 334 actualizaciones de seguridad que resuelven vulnerabilidades en más de un centenar de sus productos. Entre ellas, hay más de 70 críticas, 50 de las cuales muy próximas a la máxima puntuación (CVSS de 9,8). Los afectados van desde el sector de la industria (servicios financieros, hostelería, venta al detalle, etc.) hasta los servicios TIC transversales (servidores de Bases de Datos, aplicaciones de gestión TIC, etc.).

Google se encuentra trabajando en solucionar un fallo de sus dispositivos Google Home y Chromecast que permite a una web maliciosa obtener datos preciosos sobre la ubicación de los usuarios, según ha confirmado la compañía a Genbeta. La vulnerabilidad fue difundida este martes por el investigador Craig Young y el periodista experto en seguridad Brian Krebs.

Si eres usuario de Windows 10 es sumamente recomendable que actualices tu sistema de inmediato si no lo has hecho, y en todo caso, no dejes tu ordenador por ahí sin vigilancia. Microsoft acaba de parchear una vulnerabilidad que permite abusar de Cortana para acceder a todo tipo de documentos saltándose el inicio de sesión.

Como el fallo reside en tu CPU, afecta a cualquier sistema operativo, aunque aparentemente versiones modernas de Windows y Linux son la excepción. La buena noticias aquí es que a diferencia de Meltdown y Spectre, esta vulnerabilidad no reside en el hardware, así que puede se solucionada enviando parches a los diferentes sistemas operativos. Según Intel, dado que Lazy FP State Restore es similar a la variante 3A de Spectre, muchos sistemas operativos ya la han solucionado. Las versiones de Linux con el kernel 4.9 en adelante no están afectadas.

Cisco ha publicado 32 vulnerabilidades en múltiples productos, dos de las cuales tendrían severidad crítica, 12 severidad alta y 18 severidad media. Algunas de las vulnerabilidades podrían permitir el compromiso total de los equipos afectados, impactando la disponibilidad, la integridad y la confidencialidad de los mismos, así como los servicios que soportan y la información que transmiten.

La compañía de ciberseguridad Context ha denunciado que la plataforma de distribución digital de videojuegos Steam ha sufrido durante diez años una vulnerabilidad que ha permitido mediante un 'exploit' a los 'hackers' acceder a la información y controlar los ordenadores sus usuarios. Debido a la vulnerabilidad, el código de Steam era incapaz de detectar el tamaño de los 'packs' de datos que gestionaba, siendo así incapaz de localizar los casos en que se había introducido código adicional para ejecución remota.

Meltdown y Spectre llegaron a principios de año para amargarnos el inicio del 2018. Estas vulnerabilidades afectaron a los fabricantes de chips utilizados en computadoras y dispositivos móviles de todo el mundo. Ahora los investigadores de Google y Microsoft han encontrado una nueva vulnerabilidad, bautizada como Speculative Store Bypass (variante 4), que afecta a procesadores fabricados por Intel, ARM, IBM y AMD. Curiosamente, esta información se reveló hace unos días en una revista alemana, y hace unas horas se confirmaba.

Adobe ha publicado actualizaciones de seguridad para múltiples vulnerabilidades en sus productos de lectura y tratamiento de archivos PDF, Adobe Reader y Adobe Acrobat, en las versiones para Windows y MacOS. La marca las ha lanzado de forma prioritaria, consciente de que es uno de los formatos más populares y utilizados por todo el mundo. Diversas de estas vulnerabilidades se consideran criticas porque permitirían a un atacante ejecutar código en el sistema de la víctima, con tan sólo abrir un archivo PDF especialmente diseñado.