Noticias y Alertas
Header

Persistent-xss-Vulnerability-Apple-storeA critical vulnerability has been discovered in the official Apple’s App Store and iTunes Store, affecting millions of Apple users.

Vulnerability-Lab Founder and security researcher Benjamin Kunz Mejri discovered an Application-Side input validation web vulnerability that actually resides in the Apple App Store invoice module and is remotely exploitable by both sender as well as the receiver.

(más…)

A security researcher has discovered a critical vulnerability in the latest version of Apple’s OS X Yosemite that could allow anyone to obtain unrestricted root user privileges with the help of code that fits in a tweet.

The privilege-escalation vulnerability initially reported on Tuesday by German researcher Stefan Esser, could be exploited by to circumvent security protections and gain full control of Mac computers.

The most worrying part is that this critical vulnerability is yet to be fixed by Apple in the latest release of its operating system.

This could make it easier for hackers to surreptitiously infect Macs with rootkits and other types of persistent malware. Thanks to an environment variable DYLD_PRINT_TO_FILE Apple added to the code of OS X 10.10 Yosemite. (más…)

stagefrightJoshua Drake, Vicepresidente de investigación de la empresa Zimperium, ha confirmado que el 95% de dispositivos Android ejecutando la versión 2.2 (Froyo) a 5.X (la última Lollipop) son vulnerable a un fallo de seguridad, que afecta a más de 950 millones de dispositivos.

La vulnerabilidad reside en un componente del Kernel de Android llamado “Stagefright”, una biblioteca que permite procesar, grabar y reproducir archivos multimedia y archivos PDF. Drake es co-autor del libro Android Hackers Handbook y según afirma sólo los dispositivos ejecutando versiones anteriores a Android 2.2 no son afectados, debido a que no incluyen el componente vulnerable. Las vulnerabilidades incluyen las CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829. (más…)

En un trabajo de investigación académica para la Universidad de Londres (Royal Holloway) realizado por Joaquín Moreno Garijo, éste ha publicado un documento basado en el que se detallan la recuperación de datos internos en Mac OS X usando técnicas de análisis forense.

(más…)

Este martes Microsoft ha publicado 13 boletines de seguridad (del MS15-043 al MS15-055) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad “crítico” mientras que los 10 restantes son “importantes”. En total se han solucionado 48 vulnerabilidades. (más…)

El investigador de seguridad independiente Milan A Solankia ha divulgado una vulnerabilidad crítica (CVSS de 9.3) de ejecución remota de código en el sitio web de marketing de PayPal (www.paypal-marketing.com). Esta vulnerabilidad podría ser aprovechada por un atacante para ejecutar código en el servidor de aplicaciones web con permisos de root.

La vulnerabilidad reside en el Protocolo Java Debug Wire Protocol (JDWP) del sitio de marketing de PayPal y permitía comprometer completamente el servidor web de la empresa. (más…)

Gracias a un duro trabajo de la NCC Crypto Services Group, ha finalizado la auditoria de código de TrueCrypt 7.1a, el que ya había dado los primeros resultado positivos en abril de 2014.

El informe completo [PDF] fue publicado en el sitio de Open Crypto Audit Project. Los resultados han sido muy buenos.

“Truecrypt parece ser una pieza de software criptográfico relativamente bien diseñado. La auditoría no pudo encontrar ninguna evidencia de “puerta trasera” deliberada, o algún defecto severo de diseño que lo haría inseguro”. (más…)

Una vulnerabilidad crítica de Cross-site Scripting (XSS) en la consola de administrador de Google Apps permitió que los delincuentes puedan ejecutar cualquier petición en el dominio https://admin.google.com/.

Los administradores pueden usar la consola de Google Apps para añadir nuevos usuarios, configurar permisos, administrar la configuración de seguridad. Esta característica es utilizada principalmente por las empresas, especialmente aquellos que utilizan GMail como servicio de correo electrónico para su dominio. (más…)

De acuerdo al nuevo protocolo de clasificación de riesgo de cada vulnerabilidad, Microsoft ha publicado ocho boletines de seguridad (del MS15-001 al MS15-008) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft solo uno de los boletines presenta un nivel de gravedad “crítico” mientras que los siete restantes son “importantes”. Se han solucionado ocho vulnerbailidades. (más…)

Lewis Morgan nos regala una buena lista de ciberataques y brechas, mes a mes durante 2014:

Enero

1 Enero, 2014 – 1.1 MILLION customers’ credit card data was swiped in Neiman Marcus breach
20 Enero, 2014 – Credit Card Details of 20 Million South Koreans Stolen
21 Enero, 2014 – Microsoft blog hacked by Syrian Electronic Army
24 Enero, 2014 – CNN website, Twitter and Facebook hijacked by Syrian Electronic Army
25 Enero, 2014 – Michaels Stores confirms payment card information compromised in breach
(más…)