seguridadinformatica | Technologies

Telegram-канал seguridadinformatica - Security News for Everyone

8767

Canal dedicado a noticias de Seguridad Informática en todos sus ámbitos, free, 24h x 365. Contacto/Contact: secnews4everyone@protonmail.com Referencias: https://goo.gl/uhfXtE https://goo.gl/XvBaes

Subscribe to a channel

Security News for Everyone

#Vodafone #Leak

Vodafone sufre un hackeo que expone los datos bancarios y personales de clientes en España

Vodafone España sufrió un ciberataque que expuso los datos personales y bancarios de un “número limitado” de sus clientes.

La intrusión se produjo en los sistemas de uno de los colaboradores de Vodafone, comprometiendo la seguridad de algunos datos personales y bancarios. Los datos expuestos incluyen el DNI y detalles de la cuenta bancaria2. Sin embargo, los clientes de prepago no se vieron afectados en cuanto a la cuenta bancaria.

Vodafone atribuyó el incidente a un “acceso no autorizado” a los sistemas de uno de sus colaboradores.
Aunque no se reveló la cantidad exacta de usuarios afectados, se aseguró que la situación ya ha sido resuelta.

Igualmente aconsejamos a todos los que seáis clientes de Vodafone a cambiar vuestras credenciales cuanto antes.

Fuente:
https://www.lavanguardia.com/andro4all/operadoras/vodafone-sufre-un-hackeo-que-expone-los-datos-bancarios-y-personales-de-clientes-en-espana

https://www.elcorreo.com/economia/tu-economia/vodafone-alerta-ataque-pirata-clientes-afectados-datos-bancarios-revelados-20231126111525-nt.html

Читать полностью…

Security News for Everyone

#Securizame #BlackFriday #Formacion

Nuestros amigos de Securizame vuelven como cada año con sus ofertas de Black Friday. Todos los cursos de su web tienen un 25% de descuento, tanto los online como los online++.

Los cursos que ofertan incluyen temáticas como: Análisis Forense, DFIR (Digital Forensics Incident Response), Hacking Ético y Hardening.

Estos descuentos recordad que sólo son válidos a partir del Viernes 24 de Noviembre de 2023 hasta el 27 de noviembre de 2023 en horario peninsular de España.

Más información: https://www.securizame.com/blackfriday2023

Читать полностью…

Security News for Everyone

#Vmware #Tools #Vulnerability

VMware publicó un aviso de seguridad que aborda múltiples vulnerabilidades (CVE-2023-34057, CVE-2023-34058) en VMware Tools. Un atacante podría explotar una de estas vulnerabilidades para tomar el control de un sistema afectado.

1: CVE-2023-34057

VMware Tools contiene una vulnerabilidad de escalada de privilegios local. VMware ha evaluado la gravedad de este problema en el rango de gravedad Importante con una puntuación base CVSSv3 máxima de 7,8.

Un atacante con acceso de usuario local a una máquina virtual invitada puede elevar los privilegios dentro de la máquina virtual.

2: CVE-2023-34058

VMware Tools contiene una vulnerabilidad de omisión de firma de token SAML. VMware ha evaluado la gravedad de este problema en el rango de gravedad Importante con una puntuación base CVSSv3 máxima de 7,5 .

Un atacante al que se le han otorgado privilegios de operación de invitado en una máquina virtual de destino puede elevar sus privilegios si a esa máquina virtual de destino se le ha asignado un alias de invitado con más privilegios.

Fuente:
https://kb.vmware.com/s/article/88287
https://www.vmware.com/security/advisories/VMSA-2023-0024.html

Читать полностью…

Security News for Everyone

#Navajanegra #NN11ED

En breve comienzan las jornadas de Ciberseguridad, recordad que podéis seguirlas en directo en:

https://www.twitch.tv/navajanegra

Читать полностью…

Security News for Everyone

#Ayuntamiento #Sevilla #Leak

El Ayuntamiento de Sevilla suspende todos los servicios telemáticos por un secuestro informático: “No se negociará”

Todos los servicios se han visto afectados. Entre los más importantes para las gestiones ciudadanas se encuentran los de solicitud de cita previa y pago de tributos , para el que los funcionarios han solicitado que se efectúen de forma presencial en las sucursales bancarias autorizadas.

También los dispositivos de emergencias, como Policía Local y Bomberos, se han visto obligados a las anotaciones en papel para registrar y ordenar las actuaciones.

Fuente:
https://elpais.com/tecnologia/2023-09-06/el-ayuntamiento-de-sevilla-suspende-todos-los-servicios-telematicos-por-un-secuestro-informatico-no-se-negociara.html

Читать полностью…

Security News for Everyone

#MalDoc #PDF

Expertos en ciberseguridad han identificado una astuta técnica llamada "MalDoc en PDF," que consiste en ocultar un archivo malicioso de Word dentro de un PDF. Esta técnica permite que el PDF se abra en Word y ejecute macros dañinas. Este desarrollo ocurre en medio de un aumento de las campañas de phishing que utilizan códigos QR para propagar URL maliciosas, una táctica conocida como «Qishing«.

Fuente:
https://unaaldia.hispasec.com/2023/09/maldoc-en-pdf-y-otras-tecnicas-de-ingenieria-social.html

Читать полностью…

Security News for Everyone

#AMD #Zenbleed #Vulnerabilidad

Si tienes estos procesadores de AMD estás en riesgo: actualiza cuanto antes

Un investigador de seguridad de Google ha sido el responsable de descubrir lo que estaba pasando con los procesadores que utilizan la arquitectura Zen 2 de AMD. Por suerte, como se suele hacer en este tipo de casos, el experto se puso en contacto rápidamente con la empresa tecnológica para avisarles de lo que les estaba ocurriendo y que parece que desconocían. Eso fue en mayo y ahora, en julio, ya se encuentra disponible la actualización que lo soluciona (aunque para los usuarios inexpertos es recomendable esperar a que fabricantes de placas base actualicen sus bios con nuevos microcodes que lo corrigen).

Fuente:
https://www.adslzone.net/noticias/seguridad/procesadores-amd-riesgo-actualiza-rapido/

English Source:
https://www.bleepingcomputer.com/news/security/zenbleed-attack-leaks-sensitive-data-from-amd-zen2-processors/

Читать полностью…

Security News for Everyone

#VirusTotal #Hackeo #Leak

Filtración de datos de VirusTotal expone datos de clientes registrados

Los
datos asociados a un subconjunto de clientes registrados en dicha solución, incluidos sus nombres y direcciones de correo electrónico, quedaron expuestos después de que un empleado subiera inadvertidamente la información a la plataforma de análisis de malware.

Google confirmó la filtración y dijo que tomó medidas inmediatas para eliminar los datos.

"Somos conscientes de la distribución involuntaria de un pequeño segmento de correos electrónicos de administradores de grupos de clientes y nombres de organizaciones por parte de uno de nuestros empleados en la plataforma VirusTotal", dijo un portavoz de Google Cloud

"Eliminamos la lista de la plataforma una hora después de su publicación y estamos analizando nuestros procesos internos y controles técnicos para mejorar nuestras operaciones en el futuro."

Fuente:
https://blog.elhacker.net/2023/07/filtracion-de-datos-de-virustotal.html

English Source:
https://thehackernews.com/2023/07/virustotal-data-leak-exposes-some.html

Читать полностью…

Security News for Everyone

#Wordpress #CVE #WooCommerce

Publicada una vulnerabilidad grave para el plugin Abandoned Cart Lite for WooCommerce, utilizada en miles de tiendas online, que permite el acceso no autorizado a cuentas de usuarios que han dejado su carro "aparcado". Esto puede incluir usuarios privilegiados de la plataforma.

Esta vulnerabilidad se le ha asignado el CVE-2023-2986, afecta a versiones anteriores a la 5.14.2 y tiene una gravedad de 9.8/10 CVSS.

CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-2986
PoC: https://github.com/Ayantaker/CVE-2023-2986

Читать полностью…

Security News for Everyone

#Fortinet #VPN #CVE #Vulnerability

Nueva vulnerabilidad crítica en los firewall de Fortinet que afecta a la funcionalidad de SSL-VPN CVE-2023-27997. Se ha apodado "XORtigate".

Es de tipo buffer-overflow y permite a un atacante NO autenticado ejecutar códido remoto.

Se dice que ha podido ser explotada antes de la publicación del CVE y ya se han dado a conocer PoCs, por lo que es recomendable actualizar de forma urgente y tener una buena política de auditoría y monitorización interna.

CVE: https://nvd.nist.gov/vuln/detail/CVE-2023-27997
PoC: https://blog.lexfo.fr/xortigate-cve-2023-27997.html

Читать полностью…

Security News for Everyone

#Orange #Aepd #SIMSwapping

La AEPD sanciona a Orange por negligencia en el control de seguridad del SIM Swapping

Orange ha sido multada por la Agencia Española de Protección de Datos (AEPD) debido a una deficiente verificación en un caso de "SIM Swapping" avanzado. Este tipo de fraude, altamente peligroso, implica el duplicado de tarjetas SIM, facilitado por filtraciones de datos y fallos de seguridad que ponen información personal en manos de ciberdelincuentes.

Fuente:
https://www.xatakamovil.com/orange/sim-swapping-segunda-generacion-desvio-sms-le-sale-caro-a-orange-multa-proteccion-datos

Читать полностью…

Security News for Everyone

#Libreoffice #Office #Linux

Vulnerabilidad detectada en Libre Office:
Array Index UnderFlow in Calc Formula Parsing

Esta vulnerabilidad permite a un atacante crear un documento de hoja de cálculo que causará un desbordamiento de índice de matriz cuando se cargue. En las versiones afectadas de LibreOffice, ciertas fórmulas de hoja de cálculo mal formadas, como AGREGATE, podrían crearse con menos parámetros pasados ​​al intérprete de fórmulas de los esperados, provocando un desbordamiento como hemos comentado anteriormente y existiendo el riesgo de que se ejecute código arbitrario.

Se recomienda actualizar cuanto antes.

English Sources:
https://www.libreoffice.org/about-us/security/advisories/cve-2023-0950
https://www.libreoffice.org/about-us/security/advisories/cve-2023-2255

Читать полностью…

Security News for Everyone

#Navajanegra #Con #Cybersecurity

¡Undécima edición de Navaja Negra!

Congreso de seguridad informática, con múltiples, ponencias, talleres ctf.. etc.

Se celebrará los días: 5-7 de Octubre de 2023

Entradas ya disponibles en su web.

Localización:

Salón de actos del paraninfo Universitario

Campus Universitario, Edificio José Prat, Albacete, España
.

Fuente:
https://www.navajanegra.com

Читать полностью…

Security News for Everyone

#Keepass #Vulnerability #Passwords

¡IMPORTANTE! Nueva vulnerabilidad en Keepass permite obtener la contraseña maestra mediante volcado de memoria ram

Este afecta a las versiones de KeePass 2.X para Windows, Linux y macOS actuales

En palabras de Dominik Reichl (Creador de Keepass), reconoció el problema y dijo que había implementado dos mejoras en el administrador de contraseñas para solucionar el problema. Las mejoras se incluirán en la próxima versión de KeePass (2.54), junto con otras características relacionadas con la seguridad. Inicialmente indicó que sucedería en algún momento de los próximos dos meses, pero luego revisó la fecha estimada de entrega de la nueva versión a principios de junio.

En fuentes os dejamos toda la POC, hilo de discusión oficial y otros detalles interesantes.

Fuentes en Español:
https://blog.elhacker.net/2023/05/vulnerabilidad-en-keepass-permite-obtener-contrasena-memoria-mediante-volcado-ram.html
https://infayer.com/archivos/1785 (POC donde podemos ver la explotación de la vulnerabilidad: CVE-2023-32784 para llegar a la Master Key de KeePass)

English Sources:
https://nvd.nist.gov/vuln/detail/CVE-2023-32784
https://github.com/vdohney/keepass-password-dumper
https://sourceforge.net/p/keepass/discussion/329220/thread/f3438e6283/
(Original Report at Keepass Official Forums)

Читать полностью…

Security News for Everyone

#discord #datos #soporte

Discord revela violación de datos después de que el agente de soporte fuera pirateado

Discord notifica a los usuarios sobre una violación de datos que ocurrió después de que la cuenta de un agente de soporte externo se vio comprometida.

La brecha de seguridad expuso la cola de tickets de soporte del agente, que contenía las direcciones de correo electrónico de los usuarios, los mensajes intercambiados con el soporte de Discord y los archivos adjuntos enviados como parte de los tickets.

Fuente Inglés:
https://www.bleepingcomputer.com/news/security/discord-discloses-data-breach-after-support-agent-got-hacked/

Читать полностью…

Security News for Everyone

#OwnCloud #CVE #Vulnerabilidad

Publicados nuevos CVEs críticos para OwnCloud. A actualizar!

Uno de ellos, con CVSS 10/10, permite robar credenciales y obtener información sobre la configuración, lo que le daría a un supuesto atacante capacidad de robo de información, o facilitar, junto con otras técnicas, una ejecución de código remoto.

A priori, aun no se ven exploits públicos sobre estas nuevas vulnerabilidades.

Fuente: https://blog.segu-info.com.ar/2023/11/fallas-criticas-en-owncloud.html

Читать полностью…

Security News for Everyone

#Bizum #Pagos #Spain

Una caída en los sistemas de pago digital, incluido Bizum, provoca problemas en España

Bizum no funciona. Las tarjetas Visa y Mastercard tampoco, igual que los datáfonos. Olvídate también de sacar dinero en los cajeros. Una caída en los sistemas de pago digital ha provocado este sábado pasadas las 13.00 horas problemas en España. Entre las entidades bancarias afectadas: CaixaBank, Sabadell, Santander, Unicaja, Ibercaja, BBVA, Kutxabank, Bankinter.

Afortunadamente ya ha sido resuelto.
https://x.com/Redsys_es/status/1725878829703446946?s=20


Fuente:
https://www.abc.es/economia/caida-sistemas-pago-digital-provoca-problemas-espana-20231118143252-nt.html#_tcode=MG16NzE%3D

https://x.com/Bizum_ES/status/1725872009387606221?s=20

Читать полностью…

Security News for Everyone

#Aireuropa #cyberattack #cards

¡IMPORTANTE! Air Europa sufre un ciberataque que deja expuestos los datos bancarios de clientes

La aerolínea española ha sido víctima de un ciberataque en el que se ha comprometido la información bancaria de sus usuarios. La compañía informó a sus clientes a través de un correo electrónico, indicando que se había detectado un posible acceso no autorizado a los datos de tarjetas bancarias, incluyendo números de tarjeta, fechas de caducidad y códigos de seguridad CVV.

Air Europa ha tomado medidas para contener el incidente y asegurar sus sistemas. Hasta el momento, no se tiene constancia de que la información robada se haya utilizado para cometer fraudes. La aerolínea está investigando el origen del ataque y el uso de los datos sustraídos.

Como medida de precaución, Air Europa aconseja a sus clientes identificar las tarjetas utilizadas en su sitio web, ponerse en contacto con su entidad bancaria para anular o reemplazar esas tarjetas, no proporcionar información personal a través de llamadas o mensajes y recopilar pruebas de uso no autorizado de tarjetas para denunciarlo a las autoridades. También ha proporcionado información de contacto para consultas relacionadas con la privacidad.

No se ha revelado la cantidad de afectados ni la duración exacta del ataque.

Fuente:
https://www.20minutos.es/noticia/5180211/0/air-europa-sufre-un-ciberataque-que-deja-expuestos-los-datos-bancarios-clientes-soliciten-cancelacion-tarjeta-/

Читать полностью…

Security News for Everyone

#Navajanegra #NN11ED

Ya están disponibles los ponentes y horarios de las charlas y talleres para el próximo congreso de Navaja Negra que se celebrará los próximos días 5-7 de Octubre de 2023 en Albacete.

Podéis consultar todos los detalles aquí:
https://www.navajanegra.com/2023/

Читать полностью…

Security News for Everyone

#Securizame #Formacion #Ethicalhacking

Nuestros amigos de Securizame nos han facilitado un plan de formación en Hacking Ético, impartido por: Daniel Echeverri.

El plan de formación de hacking ético está diseñado para ampliar conocimientos y habilidades de pentesting, con el objetivo de mejorar capacidades de identificación, explotación y post-explotación de sistemas y web. Está enfocado para todo tipo de personas que queráis conocer y replicar las técnicas más utilizadas por los atacantes, con el objetivo de poder saber actuar para defender los sistemas de una organización, o bien, para saber como realizar auditorías y análisis de seguridad para terceros.


Os dejamos toda la información aquí, por si fuera de vuestro interés: https://www.securizame.com/hacking-etico-2023/

Читать полностью…

Security News for Everyone

#Angelucho #x1redmassegura

Angel Pablo Áviles, fue un guardia civil dedicado y comprometido con el grupo de delitos telemáticos y que luchó con todas sus fuerzas contra las amenazas mas fructíferas de la red.

Además de eso fue un reconocido hacker español, que destacó por sus grandes contribuciones en el sector, entre ellas con el proyecto que fundó llamado: X1Red+Segura, el cuál se dedica a informar y educar a los más vulnerables.


Uno de sus aportes más importantes fue un libro dedicado a proteger a este tipo de colectivos:
https://www.gdt.guardiacivil.es/webgdt/publicaciones/x1redmassegura/x1red+segura.pdf para evitar que fuesen víctimas de estafas, acosos etc.

Gracias por ser una inspiración para todos, dejar un enorme legado, inculcarnos tus valores y en especial por ser como eras.

Descansa en paz.

Читать полностью…

Security News for Everyone

#Mitnick #cybersecurity #Freekevin

Kevin Mitnick, el reconocido hacker convertido en consultor de seguridad y referente para miles de entusiastas y profesionales del ámbito, ha fallecido a la edad de 59 años a causa de un cáncer de páncreas. Era apodado como "El cóndor" durante sus años como hacker y destacó por su inquebrantable pasión por la informática desde una edad temprana.

Ocurrieron múltiples sucesos en su vida, como:

1. Acceso a la red de Digital Equipment Corporation (
1981-1982).

2. Acceso no autorizado a ARPANET, la precursora de Internet (1982).

3. Acceso a la base de datos de Pacific Bell para obtener información no pública (
1982-1983).

4. Obtención de contraseñas de sistemas informáticos de la Universidad del Sur de California (1988).

5. Acceso a sistemas de IBM y Motorola para obtener información confidencial (
1988-1990).

6. Intrusión en las redes de Nokia, Fujitsu, y Sun Microsystems, entre otras (
1992-1994).

En 1995, fue arrestado por delitos cibernéticos, convirtiéndose en uno de los hackers más buscados por el FBI.

Tras esta detención surgió un movimiento en línea llamado: Freekevin, porque se consideró que su condena era excesiva y que el experto en ciberseguridad estaba siendo tratado injustamente.

Tras cumplir cinco años de condena, cambió su enfoque y se convirtió en un defensor de la ética en el hacking, creando su propia: Mitnick Security.

También publicó varios libros, incluyendo:

"The Art of Deception": Mitnick revela cómo los hackers manipulan el factor humano para obtener acceso a información confidencial.

"The Art of Intrusion": Explora casos de estudio de ataques informáticos reales llevados a cabo por hackers y estafadores.

"Ghost in the Wires": La autobiografía de Mitnick que narra su vida como hacker y su transformación en experto en seguridad informática.

"The Art of Exploitation": Presenta técnicas avanzadas de hacking y explora cómo funcionan las vulnerabilidades en sistemas informáticos.

Amigos y colegas lo describen como un hombre apasionado, carismático y generoso, mentor de jóvenes talentos en ciberseguridad. En su última entrevista, expresó su deseo de ser recordado como un ser humano que contribuyó positivamente al mundo y luchó por la privacidad en la era digital.

Es por ello, que hemos decidido narrar aquí una pequeña cronología de su vida, en especial para las nuevas generaciones que busquen dedicarse a esta profesión porque seguirá permaneciendo en el corazón de la comunidad tecnológica y, sin duda, su ausencia se sentirá en cada CON que se celebre.

El fue un visionario que cambió la percepción del hacking y demostró algo muy importante y es que el conocimiento, cuando se utiliza para el bien y como debe de emplearse en nuestra profesión, puede ser una poderosa herramienta para el progreso de la sociedad.

Desde Sec. News enviamos nuestras condolencias a la familia, amigos y admiradores de Kevin.

Su legado perdurará en cada línea de código y en cada mente inquieta que busque un mundo digital más seguro.

Descansa en paz.

Читать полностью…

Security News for Everyone

#Revolut #Hackeo #Financialtimes

Revolut fue hackeada y ha perdido 20 millones de dólares por un fallo en sus sistemas, según Financial Times

Desde Revolut todavía tienen que dar una respuesta, aunque ha sido desvelado según fuentes anónimas cercanas al incidente. Tal y como cita el medio, el ataque se aprovechó de un fallo en los sistemas de pago de la compañía en Estados Unidos y Europa, causando reembolsos erróneos justo cuando algunas transacciones habían sido rechazadas.

Fuente:
https://www.genbeta.com/actualidad/revolut-fue-hackeada-ha-perdido-20-millones-dolares-fallo-sus-sistemas-financial-times

https://www.xataka.com/seguridad/revolut-ha-sido-hackeada-problema-no-han-sido-contrasenas-sino-condenado-phishing

English Source:
https://www.reddit.com/r/Revolut/comments/xew1w3/revolut_was_hacked/

Читать полностью…

Security News for Everyone

#Apple #0day #Vulnerability

¡Importante! Múltiples vulnerabilidades en productos de Apple.

Georgy Kucherin, Leonid Bezvershenko y Boris Larin, de Kaspersky, han informado a Apple sobre 3 vulnerabilidades 0day que podrían permitir a un atacante ejecutar código arbitrario, las cuales afectan particularmente al kernel y Webkit.

Los recursos afectados son:

Safari 16.5.1
iOS 16.5.1 e iPadOS 16.5.1
iOS 15.7.7 e iPadOS 15.7.7
macOS Ventura 13.4.1
macOS Monterey 12.6.7
macOS Big Sur 11.7.8
watchOS 9.5.2
watchOS 8.8.1


Los CVES son:

CVE-2023-32434 CVE-2023-32435  CVE-2023-32439

Fuente en Español:
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-0day-en-productos-de-apple

English source with details:
https://thehackernews.com/2023/06/zero-day-alert-apple-releases-patches.html

Читать полностью…

Security News for Everyone

#ransom #breach #bank

Finalmente parece que el grupo Play ha publicado los datos que exfiltró de GlobalCaja y están disponibles para su descarga.

Por motivos obvios no vamos a exponer detalles del contenido ni la cantidad.

Читать полностью…

Security News for Everyone

#ransom #breach #bank

Globalcaja es victima del grupo de ransomware Play

Según su propio comunicado, el banco sigue siendo operativo aunque hay oficinas con puestos inoperativos.

No se especifica la magnitud del incidente ni si ha habido fuga de información, aunque el grupo Play suele hacer exfiltración.

Fuente:
https://nitter.net/SomosGlobalcaja/status/1664594779076796416
https://cybernews.com/news/globalcaja-ransomware-attack/

Читать полностью…

Security News for Everyone

#ciberdelincuentes #ransomware #USA

Los ciberdelincuentes toman como rehén la ciudad de Augusta en un ataque de ransomware

El grupo de ransomware BlackByte, que se ha atribuido el ataque, ha publicado 10 GB de datos de muestra del ciberataque en la ciudad estadounidense de Augusta y afirma que tiene muchos más datos disponibles. Los datos filtrados incluyen datos de identificación personal, direcciones físicas, contactos, datos de asignación de presupuesto de la ciudad y más.

Fuente:
https://www.csoonline.com/article/3697854/hackers-hold-city-of-augusta-hostage-in-a-ransomware-attack.html

Читать полностью…

Security News for Everyone

#Spain #Encryption #Privacy

España quiere eliminar el cifrado de extremo a extremo:

Cómo te afectaría y por qué no es una buena idea

Recientemente ha aparecido un documento, en donde varios países de la unión Europea se han manifestado en contra del cifrado de extremo a extremo que tienen algunas de las aplicaciones más famosas que usamos en nuestro día a día como: Signal, Telegram, Whatsapp etc hasta tal punto que algunos de esos países están valorando prohibirlo.

Entre los territorios que rechazan en el informe los mensajes cifrados, esta España. El documento filtrado recopila las diferentes posturas de una consulta del Consejo Europeo, acerca de las medidas para prevenir el contenido de abuso sexuales a menores y eliminar este cifrado, siendo esta una medida que se está valorando.

Fuente en Español:
https://www.20minutos.es/tecnologia/ciberseguridad/espana-eliminar-cifrado-extremo-extremo-5130918/

English Source:
https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/

Читать полностью…

Security News for Everyone

#Wordpress #Ciberseguridad

WordPress 6.2.1 – Actualización de mantenimiento y seguridad

Se recomienda actualizar de inmediato, ya que incluye 20 correcciones a fallos en el núcleo y 10 correcciones de fallos en el editor de bloques.

Además de varias correcciones de seguridad:

- Ejecución remota de código (RCE)
- Secuencias de comandos en sitios cruzados (CSS)
- Elevación de privilegios (EP)
- Manipulación de datos (DM)
- Suplantación de identidad (Spoofing)

Puedes descargar WordPress 6.2.1 desde WordPress.org, o visitar el escritorio de tu WordPress, hacer clic en «Actualizaciones» y luego hacer clic en «Actualizar ahora».

Para más información sobre esta versión visita el sitio del centro de ayuda.

Fuente en Español:
https://es.wordpress.org/2023/05/16/wordpress-6-2-1-actualizacion-de-mantenimiento-y-seguridad/

Fuente en Inglés:
https://www.hkcert.org/security-bulletin/wordpress-multiple-vulnerabilities_20230518

Читать полностью…

Security News for Everyone

#Windows #Outlook #vulnerabilidad

De una vulnerabilidad a otra: el análisis de parches de Outlook revela una falla importante en la API de Windows

La vulnerabilidad permite que un atacante obligue a un cliente de Outlook a conectarse al servidor del atacante. Al hacerlo, el cliente envía credenciales NTLM a la máquina, lo que permite al atacante descifrar la contraseña sin conexión o usarla en un ataque de retransmisión. Esta vulnerabilidad se puede explotar de forma remota a través de Internet sin ninguna interacción del usuario (cero clic).

Fuente Inglés:
https://www.akamai.com/blog/security-research/important-outlook-vulnerability-bypass-windows-api

Читать полностью…
Subscribe to a channel