Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, iPadOS, macOS, watchOS, tvOS, Safari, y Xcode. Entre todos los productos se corrigen 49 fallos de seguridad, de cuales 15 podrían permitir la ejecución de código. A lo largo de esta semana Apple ha publicado 7 boletines de seguridad para sus productos, que se resumen como … [Leer más...] acerca de Actualizaciones para múltiples productos de Apple
Nueva vulnerabilidad zero-day explotada activamente en sistemas Windows
Se ha descubierto un nuevo 'zero-day' siendo explotado activamente en sistemas Windows. La vulnerabilidad permite a los atacantes ejecutar código arbitrario y tomar el control de la máquina. Según ha publicado Microsoft en su boletín, la librería 'Adobe Type Manager' (atmfd.dll) procesa de forma insegura ciertos tipos de fuentes en formato Adobe Type 1 PostScript, lo que … [Leer más...] acerca de Nueva vulnerabilidad zero-day explotada activamente en sistemas Windows
RCE en Visual Studio Code a través de su extensión de Python
El equipo de Doyensec ha encontrado una vulnerabilidad en la popular extensión para Python de Visual Studio Code que permitiría la ejecución remota de código. La extensión de Python, con aproximadamente 16.5 millones de instalaciones, cuenta con un fallo de diseño que permite ejecutar el código encontrado en el 'virtualenv' de un proyecto sin notificar al usuario. Este … [Leer más...] acerca de RCE en Visual Studio Code a través de su extensión de Python
Android soluciona varias vulnerabilidades críticas
Entre las 70 actualizaciones de seguridad que Google ha publicado en su último boletín para Android se soluciona una vulnerabilidad de elevación de privilegios presente en los chipset de MediaTek y que afecta a millones de dispositivos. La vulnerabilidad, etiquetada con CVE-2020-0069, ha sido clasificada por Google como de gravedad alta. Sin embargo, en el foro de … [Leer más...] acerca de Android soluciona varias vulnerabilidades críticas
Una vulnerabilidad crítica de hace 17 años afecta a múltiples distribuciones de Linux
El servicio 'pppd', desde su versión 2.4.2 hasta la 2.4.8, presenta un fallo en las rutinas que procesan los paquetes EAP (Extensible Authentication Protocol) que podría ser aprovechado por un atacante remoto no autenticado para provocar un desbordamiento de la memoria basada en pila y ejecutar código arbitrario en el sistema afectado. El Protocolo Punto a Punto (PPP) es … [Leer más...] acerca de Una vulnerabilidad crítica de hace 17 años afecta a múltiples distribuciones de Linux