Las vulnerabilidades aprovechan la caché DNS del router para modificar la resolución a los dominios de actualización RouterOS es un sistema operativo basado en Linux desarrollado para los routers MikroTik, aunque su instalación puede efectuarse en cualquier otro equipo como un PC. Este sistema cuenta con una serie de utilidades de código cerrado como es su propio comando … [Leer más...] acerca de Vulnerabilidades en RouterOS permiten root sin autenticación
Google activa Site Isolation para Chrome en Android
La medida, que ya estaba disponible en la versión de escritorio, protege de ataques como Spectre y Meltdown La última versión de Google Chrome para Android ha activado por fin la característica 'Site Isolation' tras llevar más de un año habilitado en la versión para escritorio del navegador. Gracias a 'Site Isolation' sitios web diferentes se ejecutan en distintos … [Leer más...] acerca de Google activa Site Isolation para Chrome en Android
Zero Day en vBulletin
Se ha revelado una vulnerabilidad crítica en vBulletin que permite la ejecución remota de código sin necesidad de autenticarse El pasado 23 de septiembre un usuario anónimo reportó en las listas de Full Disclosure una vulnerabilidad que afecta a todas las versiones de vBulletin desde la versión 5, lanzada en 2012. Debido a que no se siguió el procedimiento habitual, el … [Leer más...] acerca de Zero Day en vBulletin
DNS spoofing en Kubernetes
Los permisos por defecto en los clusters de Kubernetes permiten realizar ARP spoofing, que entre otros riesgos deja tomar el control del DNS Tal y como ha demostrado el analista de seguridad Daniel Sagi, el diseño de red de Kubernetes junto con los permisos por defecto permite a cualquier pod realizar DNS spoofing al resto de pods del cluster. Este tipo de ataques … [Leer más...] acerca de DNS spoofing en Kubernetes
Google revela un fallo en todas las versiones de Windows desde hace 20 años
El fallo afecta a todas las versiones desde Windows XP, permitiendo leer y escribir comunicaciones de MSCTF para escapar de un sandbox y escalar privilegios El equipo de seguridad Google Project Zero ha descubierto que la comunicación entre servidor y cliente del servicio Ctfmon es insegura, siendo empleada por el Text Services Framework (TSF), responsable de notificar a las … [Leer más...] acerca de Google revela un fallo en todas las versiones de Windows desde hace 20 años