Noticias y Alertas
Header

Un pirata informático anónimo con un alias en línea “SandboxEscaper” lanzó hoy el código de vulnerabilidad de prueba de concepto (PoC) para una nueva vulnerabilidad de día cero que afecta al sistema operativo Windows 10: esa es su quinta versión de vulnerabilidad pública de día cero de Windows en menos de un año.

Publicado en GitHub , la nueva vulnerabilidad de día cero de Windows 10 es un problema de escalamiento de privilegios que podría permitir a un atacante local o malware obtener y ejecutar código con privilegios de sistema administrativo en las máquinas seleccionadas, lo que finalmente permitirá que el atacante obtenga el control total de la máquina .

(más…)

Worpress es un objetivo popular por que la mayoría de las webs lo usa para manejar y publicar su contenido. Esto de acuerdo a un informe por parte de Sucuri de sitios web comprometidos [PDF], hay un 78% de los 21.821 sitios estudiados que usan este gestor de contenidos.

WordPress, con el paso del tiempo, continua a la cabeza con un amplio porcentaje de sitios web comprometidos, con una tasa del 74%.

El informe se centra en cuatro populares gestores de contenidos Open Source: se cubre también Joomla con un 14% de sitios comprometidos, Magento con un 5% y Drupal con un 2%.

(más…)

Solo han pasado unas pocas horas desde que Apple lanzó iOS 12.1 y, una vez más, un entusiasta de iPhone ha logrado encontrar un truco de desvío de contraseña que podría permitir a cualquier persona ver la información privada de todos los contactos en un iPhone bloqueado.

José Rodríguez , un investigador de seguridad español, se contactó con The Hacker News y confirmó que descubrió un error de bypass de contraseña de iPhone en la última versión de su sistema operativo móvil iOS, iOS 12.1, lanzado hoy por Apple.

(más…)

Se conoció que la grave falla viene con la última actualización de iOS, y que permite a un tercero acceder a las fotos de un teléfono, sin necesidad de poner la contraseña de ese usuario. Para ello, es preciso tener acceso físico al celular.

A raíz de esta falla, una persona, que no necesita conocimientos avanzados en informática, fácilmente puede burlar los controles de seguridad que Apple ha establecido para sus teléfonos.

(más…)

Un investigador ha publicado en Twitter detalles sobre una vulnerabilidad en el sistema operativo Windows 10.

windows zero day exploit

(más…)

Sam Thomas, un investigador de seguridad de Secarma, ha descubierto una nueva técnica de explotación que podría facilitar a los piratas informáticos desencadenar vulnerabilidades críticas de deserialización en el lenguaje de programación PHP utilizando funciones consideradas de bajo riesgo.

La nueva técnica deja cientos de miles de aplicaciones web abiertas para ataques remotos de ejecución de código, incluidos sitios web impulsados ​​por algunos sistemas populares de administración de contenido como WordPress y Typo3.

(más…)

Red Hat acaba de publicar información de un nuevo problema de implementación de hardware de microprocesador (microarquitectura) similar a Spectre y Meltdown y que afecta los microprocesadores x86 fabricados por Intel. Este problema se denominó Terminal Fault (L1TF) (L1TF) o ForeShadow.

 

(más…)

El investigador de seguridad Michał Bentkowski descubrió y reportó una vulnerabilidad de alta gravedad en Google Chrome a fines de mayo, afectando el software de navegación web para todos los principales sistemas operativos, incluidos Windows, Mac y Linux.

Sin revelar ningún detalle técnico sobre la vulnerabilidad, el equipo de seguridad de Chrome describió el problema como un manejo incorrecto del encabezado CSP (CVE-2018-6148) en una publicación de blog publicada hoy.
(más…)

CVE-2018-10201

Ncomputing vSpace Pro Directory Traversal Vulnerability

[Description]

An issue was discovered in NcMonitorServer.exe in NC Monitor Server in NComputing vSpace Pro 10 and 11.

It is possible to read arbitrary files outside the root directory of the web server. This vulnerability could be exploited remotely by a crafted URL without credentials, with …/ or …\ or …./ or ….\ as a directory-traversal pattern to TCP port 8667.

An attacker can make use of this vulnerability to step out of the root directory and access other parts of the file system. This might give the attacker the ability to view restricted files, which could provide the attacker with more information required to further compromise the system.

(más…)

Divulgadas hoy por Google Project Zero , las vulnerabilidades pueden afectar a todas las principales CPU, incluidas las de AMD, ARM e Intel, que amenazan casi todas las PC, computadoras portátiles, tabletas y teléfonos inteligentes, independientemente del fabricante o del sistema operativo.

Estas vulnerabilidades de hardware se han categorizado en dos ataques , llamados Meltdown (CVE-2017-5754) y Spectre (CVE-2017-5753 y CVE-2017-5715), que podrían permitir a los atacantes robar datos confidenciales que actualmente se procesan en la computadora. .

Ambos ataques aprovechan una característica en chips conocida como “ejecución especulativa”, una técnica utilizada por la mayoría de las CPU modernas para optimizar el rendimiento. (más…)