Un equipo de investigadores de seguridad ha descubierto otra grave vulnerabilidad de canal lateral en las CPU de Intel que podría permitir a un atacante leer datos confidenciales o protegidos, como contraseñas y claves criptográficas, de otros procesos que se ejecutan en el mismo núcleo de la CPU con la función de subprocesos múltiples (multi-threading) habilitada.

La vulnerabilidad, cuyo nombre en código es PortSmash (CVE-2018-5407), se ha unido a la lista de otras graves vulnerabilidades de canal lateral descubiertas desde el año pasado, incluidas las famosas Meltdown y Specter.

Continuar leyendo

Un investigador de seguridad informática amateur descubrió e hizo pública una vulnerabilidad de omisión de contraseña en el iOS 12 de Apple a fines del mes pasado y que ahora luego de que ha sido eliminade en la última actualización del iOS 12.0.1 que fue lanzada la semana pasada, se ha hecho pública.

José Rodríguez, un investigador de seguridad amateur español, descubrió un error en iOS 12 a fines de septiembre que permite a los atacantes con acceso físico a un iPhone acceder a sus contactos y fotos.

El error se parchó en iOS 12.0.1, pero ahora se descubrió un truco de bypass de contraseña en el iPhone similar al anterior y que funciona en la última versión de iOS 12.0.1 y es más fácil de ejecutar que el error descubierto por Rodríguez y que informara de ello hace dos semanas.

Continuar leyendo

La ráfaga de errores de seguridad que Microsoft abordó con el lanzamiento de actualizaciones de este mes incluye una vulnerabilidad de ejecución remota de código en el navegador web Edge. La falla se basa en abusar de los esquemas URI y los scripts en Windows que pueden ejecutarse con parámetros definidos por el usuario.

Ahora rastreado como CVE-2018-8495, el error fue descubierto por el investigador de seguridad Abdulrahman Al-Qabandi.

Continuar leyendo

¿Qué pasaría si con solo recibir una videollamada de WhatsApp pudiera hackear tu smartphone?

Esto pudiera parecer algo poco probable, pero la investigadora de seguridad de Google Project Zero, Natalie Silvanovich, encontró una vulnerabilidad crítica en la popular aplicación de mensajeria electrónica, WhatsApp, que podría haber permitido a los ciberdelincuentes tomar el control total de tu cuenta de WhatsApp sólo con una videollamada.

Continuar leyendo

Sony sigue los pasos de Nintendo y lanzó una pequeña réplica de una consola de juegos que es un «clásico» con 20 juegos preinstalados.

La PlayStation Classic saldrá a la calle el 3 de diciembre de este año y ya está disponible para pre-orden aquí en Estados Unidos por $ 100 en BestBuy y GameStop.

Continuar leyendo

Investigadores de seguridad han revelado un nuevo ataque para robar contraseñas, claves de encriptación y otra información sensible almacenada en la mayoría de las computadoras modernas, incluso aquellas con cifrado de disco duro completo.

El ataque es una nueva variación de un ataque de arranque en frío (cold boot attack) tradicional, que está disponible desde 2008 y permite a los atacantes robar información que permanece brevemente en la memoria (RAM) después de que se apaga la computadora.

Continuar leyendo

¡Peligro Will Robinson! Si tú estas utilizando la extensión del navegador Chrome del servicio de almacenamiento de archivos MEGA, desinstálelo ahora mismo.

¿Por qué? Pues la extensión oficial de Chrome para el servicio de almacenamiento en la nube MEGA.nz había sido comprometida y reemplazada con una versión maliciosa que puede robar las credenciales de los usuarios para sitios web populares como Amazon, Microsoft, Github y Google, así como claves privadas para billeteras de criptomonedas de los usuarios.

Continuar leyendo

La empresa de ciberseguridad Acros Security ha publicado un parche a la vulnerabilidad de día cero de Windows que afecta a la interfaz ALPC del Task Scheduler, del cual hablamos en el post anterior. Dicho parche puede ser descargado del website 0patch.com creado por la empresa para facilitar el parchado de esta vulnerabilidad crítica.

Tenga en cuenta que este no es un parche oficial de Microsoft, ni tampoco ha sido aprobado por Microsoft, así que si desea aplicarlo haga una copia de respaldo de su información.

Continuar leyendo

Un investigador de seguridad ha revelado públicamente los detalles de una vulnerabilidad de día cero previamente desconocida en el sistema operativo Windows de Microsoft que podría ayudar a un usuario local o programa malicioso a obtener privilegios de sistema en la máquina que el objetivo del ataque.

Aunque parezca increíble la falla de día cero ha sido confirmada trabajando en un sistema Windows 10 de 64 bits completamente parcheado.

Continuar leyendo

Sam Thomas, un investigador de seguridad de Secarma, ha descubierto una nueva técnica de explotación que podría facilitar a los ciberdelincuentes desencadenar vulnerabilidades críticas relacionadas a la deserialización en el lenguaje de programación PHP utilizando funciones consideradas de bajo riesgo.

La nueva técnica deja cientos de miles de aplicaciones web abiertas para ataques remotos de ejecución de código, incluidos sitios web impulsados por algunos sistemas populares de administración de contenido como son WordPress y Typo3.

Continuar leyendo