Martes de parches de enero de 2024: Microsoft corrige 49 fallas y 12 errores de RCE

Ayer, fue el martes de parches de enero de 2024 de Microsoft, que incluye actualizaciones de seguridad para un total de 49 fallas y 12 vulnerabilidades de ejecución remota de código.

Solo dos vulnerabilidades se clasificaron como críticas: una era la omisión de la función de seguridad Kerberos de Windows y la otra un RCE de Hyper-V.

La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:

Continue reading

Kaspersky descubre una vulnerabilidad desconocida en iPhones utilizada en “Operation Triangulation”

El ataque APT fue descubierto a mediados de 2023 por Kaspersky. La nueva vulnerabilidad permite a los atacantes saltarse la protección de memoria en iOS 16.6 o versiones anteriores.

El Equipo de Investigación y Análisis Global de Kaspersky (GReAT) revela una vulnerabilidad de hardware desconocida hasta ahora en los iPhones, que desempeñó un papel clave en los últimos ataques llevados a cabo por la campaña de espionaje ‘Operation Triangulation’; una amenaza persistente avanzada (APT) dirigida a dispositivos Apple y descubierta a mediados de 2023 por la empresa de ciberseguridad. Esta vulnerabilidad permite a los atacantes saltarse la protección de memoria en iPhones con versiones de iOS 16.6 o anteriores.Esta vulnerabilidad es una característica de hardware, posiblemente basada en el principio de “seguridad por oscuridad, y puede haber sido diseñada para pruebas o depuración. Tras el ataque inicial a iMessage y la obtención de permisos de acceso, los atacantes utilizan esta funcionalidad de hardware para evadir las protecciones de seguridad y manipular el contenido de las áreas de memoria protegidas. Este paso fue crucial para tener el control total del dispositivo. Apple ya ha parcheado esta vulnerabilidad y la identificó como CVE-2023-38606.

Continue reading