Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
598
)
-
▼
enero
(Total:
598
)
-
Alemania es el país europeo con la mitad de los ho...
-
Un activista británico demanda a Valve por 903 mil...
-
Vulnerabilidades en OpenSSL permiten a atacantes r...
-
Google advierte sobre vulnerabilidad en WinRAR exp...
-
El 64% de las aplicaciones de terceros acceden a d...
-
Intel XeSS 3 con Multi-Frame Generation ya está di...
-
Instagram, Facebook y WhatsApp probarán nuevas sus...
-
Valve se enfrenta a una demanda multimillonaria po...
-
Atacantes secuestran repositorio oficial de GitHub...
-
Más de 6.000 servidores SmarterMail vulnerables ex...
-
AMD Gorgon Point no presentará batalla frente a Pa...
-
Tarjetas gráficas NVIDIA y AMD: Guía de equivalencias
-
Vulnerabilidad 0-day en Gemini MCP permite a ataca...
-
Vulnerabilidad en TP-Link Archer permite a atacant...
-
Dario Amodei, CEO Anthropic, sobre el incierto fut...
-
ASML despedirá empleados pese al auge de chips de ...
-
El CEO de Cisco advierte: “la IA será más grande q...
-
Samsung crea un nuevo cartel inteligente de tinta ...
-
Amazon recorta 16.000 empleados en una segunda ole...
-
Teracle desaparece: la crisis de la memoria golpea...
-
Fuga de memoria en el motor JavaScript ZAP afecta ...
-
WhatsApp niega demanda y confirma que los mensajes...
-
Doomsday Clock 2026, más cerca del fin del mundo
-
Falsos técnicos se hacen pasar por Vodafone para e...
-
Tras 34 años, la comunidad del kernel Linux tiene ...
-
Un satélite chino casi choca y Starlink reduce alt...
-
Vulnerabilidad en cliente Windows de Check Point H...
-
Herramienta de pruebas de seguridad MEDUSA con 74 ...
-
Intel contra todos en CPU con su Core Ultra X9 388...
-
AMD, Cooler Master y V-Color lanzan un pack de Ryz...
-
DuckDuckGo permite buscar por Internet sin IA: es ...
-
Múltiples vulnerabilidades en Componentes de Servi...
-
Vulnerabilidad crítica en la biblioteca PLY de Pyt...
-
Adiós al postureo: BeReal se relanza en España con...
-
Rescuezilla, la ‘navaja suiza’ para clonación de s...
-
Pável Dúrov, creador de Telegram, asegura que "hay...
-
ChatGPT obtiene información de contenido generado ...
-
Ni en Wallapop ni en Vinted, la era de comprar por...
-
Vulnerabilidad de día cero en Microsoft Office exp...
-
Así puedes proteger tu legado digital en caso de q...
-
¿Recuerdas las cabinas telefónicas? No todas han d...
-
Qué es Clawdbot (MoltBot), el agente de IA gratuit...
-
Nueva demanda alega que Meta puede leer todos los ...
-
Hasta Bill Gates, cofundador de Microsoft, reconoc...
-
Actores de amenazas usan sitios falsos de Notepad+...
-
El presidente del consejo de administración de Ope...
-
Samsung presenta su tecnología de SSD KV Cache Off...
-
Instala y configura Home Assistant en tu router AS...
-
Comparativa servicios VPN
-
Cientos de puertas de enlace Clawdbot expuestas de...
-
La Intel Arc B390 de iGPU en Panther Lake: rendimi...
-
12 años después Apple actualiza el iPhone 5s y otr...
-
MITRE lanza nuevo marco de ciberseguridad para pro...
-
Nuevo kit de malware redirige a usuarios a sitios ...
-
Apple presenta el AirTag 2: más alcance, localizac...
-
China amenaza con un enjambre de 200 drones con IA...
-
Clawdbot (MoltBot): Qué es, cómo se usa y cuáles s...
-
Android 17 apostará por las transparencias inspira...
-
Intel va en serio con la IA local en 2026: las Arc...
-
Curl pondrá fin a su programa de recompensas por e...
-
Si WhatsApp es gratis, ¿cómo gana dinero Meta?
-
Lazarus atacan activamente empresas europeas de dr...
-
El lanzamiento de GTA 6 será exclusivamente digital
-
Explotan vulnerabilidad en telnetd para acceso roo...
-
Qué es la indexación de Windows 11 y cómo activarl...
-
Ciberdelincuentes usan Gemini para robar datos de ...
-
Trabajador estadounidense Robert Williams fue el p...
-
Navegador ChatGPT Atlas ahora puede entender vídeo...
-
Por qué algunas baterías externas son más baratas
-
El disco duro de mi PC con Windows era un caos has...
-
Weaponizing IA para crear malware
-
76 vulnerabilidades de día cero descubiertas por h...
-
Pueden convertir una página limpia en maliciosa en...
-
MacSync roba datos de macOS con ataque estilo Clic...
-
WhatsApp ofrecerá un plan de suscripción en Europa...
-
Red Dead Redemption 2 llegará a PS5 y Xbox Series ...
-
ChatGPT saca 15 sobresalientes en el examen de acc...
-
Demandan al sistema de contratación por IA utiliza...
-
Usan truco de error tipográfico "rn" para suplanta...
-
Neurophos Tulkas T110, así es la OPU a 56 GHz, con...
-
Usan archivos LNK para desplegar el malware MoonPe...
-
El RE Engine suppera al motor gráfico de Unreal En...
-
La Comisión Europea abre una investigación a X y G...
-
Para encender este PC tienes que echar una moneda,...
-
Meta impide que los niños y adolescentes de todo e...
-
Un modder convierte una PlayStation 4 Slim en una ...
-
Actores de amenazas simulan pantallazos azules y h...
-
Richard Stallman, el inventor del código abierto: ...
-
PlayStation 6: especificaciones, tecnologías, fech...
-
Final Fantasy VII Remake Part 3: motor gráfico y p...
-
Grupo APT Sandworm ataca la red eléctrica de Polon...
-
48 millones de cuentas de Gmail y 6,5 millones de ...
-
NVIDIA impulsa la generación de imagen y vídeo con...
-
¿El fin de los humanos? Así son las «fábricas oscu...
-
AMD Gorgon Halo: nueva APU Ryzen AI MAX+ 495 a mod...
-
El laboratorio secreto de OpenAI está enseñando a ...
-
Geoffrey Hinton, "padrino de la IA", reconoce esta...
-
Elon Musk da un consejo: "Zonas despobladas de Esp...
-
Elon Musk quiere colonizar Marte, pero primero deb...
-
El gestor de contraseñas 1Password tiene una noved...
-
-
▼
enero
(Total:
598
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
IKEA lanza el enchufe inteligente INSPELNING , por menos de 10 euros , que reduce la factura de luz al medir el consumo eléctrico y es com... -
Un usuario recomienda FolderFresh , una herramienta para organizar carpetas en Windows 11 que mejoró el rendimiento de su PC al ordenar ar... -
Un proyecto permite actualizar Windows 7 hasta enero de 2026 , añadiendo soporte para SSDs NVMe y USB 3.x , mejorando su seguridad y compati...
Vulnerabilidades en OpenSSL permiten a atacantes remotos ejecutar código malicioso
OpenSSL parcheó 12 vulnerabilidades el 27 de enero de 2026, incluyendo una falla de alta gravedad que podría permitir la ejecución remota de código. La mayoría de los problemas causan ataques de denegación de servicio, pero destacan los riesgos en el análisis de datos no confiables. El problema más grave, CVE-2025-15467, afecta al análisis de CMS AuthEnvelopedData con cifrados AEAD como AES-GCM.
OpenSSL parcheó 12 vulnerabilidades el 27 de enero de 2026, incluyendo una falla de alta gravedad que podría llevar a la ejecución remota de código. La mayoría de los problemas causan ataques de denegación de servicio (DoS), pero destacan los riesgos al analizar datos no confiables.
El problema más grave, CVE-2025-15467, afecta al análisis de CMS AuthEnvelopedData con cifrados AEAD como AES-GCM. Los atacantes crean IVs (vectores de inicialización) sobredimensionados en parámetros ASN.1, provocando desbordamientos de pila antes de las comprobaciones de autenticación. Esto conduce a bloqueos o potencial ejecución remota de código en aplicaciones que manejan datos CMS o PKCS#7 no confiables, como S/MIME.
Las aplicaciones que analizan contenido CMS remoto enfrentan un alto riesgo, ya que no se necesita una clave para desencadenar el desbordamiento. La explotabilidad depende de defensas de la plataforma como ASLR, pero la escritura en pila como primitiva supone un peligro grave. OpenSSL lo calificó como de alta gravedad.
CVE-2025-11187 implica una validación incorrecta de PBMAC1 en archivos PKCS#12, lo que lleva a desbordamientos de pila o desreferencias nulas en versiones 3.6 a 3.4. Archivos maliciosos desencadenan desbordamientos de búfer durante la derivación de claves si la longitud de la clave supera los 64 bytes.
Varias vulnerabilidades de baja gravedad, como CVE-2025-69419, CVE-2025-69421 y CVE-2026-22795, también afectan al manejo de PKCS#12, causando escrituras fuera de límites o desreferencias nulas.
| ID de CVE | Gravedad | Impacto breve | Versiones afectadas | Versiones parcheadas |
|---|---|---|---|---|
| CVE-2025-11187 | Moderada | Desbordamiento de pila en MAC de PKCS#12 | 3.6, 3.5, 3.4 | 3.6.1, 3.5.5, 3.4.4 |
| CVE-2025-15467 | Alta | Desbordamiento de pila en análisis de CMS | 3.6-3.0 | 3.6.1, 3.5.5, 3.4.4, 3.3.6, 3.0.19 |
| CVE-2025-15468 | Baja | Desreferencia nula en búsqueda de cifrado QUIC | 3.6, 3.5, 3.4, 3.3 | 3.6.1, 3.5.5, 3.4.4, 3.3.6 |
| CVE-2025-15469 | Baja | Herramienta dgst trunca entradas grandes | 3.6, 3.5 | 3.6.1, 3.5.5 |
| CVE-2025-66199 | Baja | DoS por compresión de certificados en TLS 1.3 | 3.6, 3.5, 3.4, 3.3 | 3.6.1, 3.5.5, 3.4.4, 3.3.6 |
| CVE-2025-68160 | Baja | Escritura OOB en búfer de línea BIO | 3.6-3.0, 1.1.1, 1.0.2 | 3.6.1-3.0.19, 1.1.1ze, 1.0.2zn |
| CVE-2025-69418 | Baja | Bytes finales OCB sin cifrar | 3.6-3.0, 1.1.1 | 3.6.1-3.0.19, 1.1.1ze |
| CVE-2025-69419 | Baja | Escritura OOB en friendlyname de PKCS12 | 3.6-3.0, 1.1.1 | 3.6.1-3.0.19, 1.1.1ze |
| CVE-2025-69420 | Baja | Desreferencia nula en verificación de marca de tiempo | 3.6-3.0, 1.1.1 | 3.6.1-3.0.19, 1.1.1ze |
| CVE-2025-69421 | Baja | Desreferencia nula en descifrado de PKCS12 | 3.6-3.0, 1.1.1, 1.0.2 | 3.6.1-3.0.19, 1.1.1ze, 1.0.2zn |
| CVE-2026-22795 | Baja | Confusión de tipos en PKCS#12 | 3.6-3.0, 1.1.1 | 3.6.1-3.0.19, 1.1.1ze |
| CVE-2026-22796 | Baja | Confusión de tipos en resumen de PKCS7 | 3.6-3.0, 1.1.1, 1.0.2 | 3.6.1-3.0.19, 1.1.1ze, 1.0.2zn |
Estas vulnerabilidades afectan al análisis de PKCS#12, PKCS#7, marcas de tiempo o APIs especializadas no confiables. La mayoría requiere entradas manipuladas, lo que limita los exploits remotos a configuraciones específicas, según indica el aviso.
Las vulnerabilidades abarcan desde OpenSSL 3.6 hasta 1.0.2, excluyendo ramas antiguas sin características como PBMAC1 o QUIC. Los módulos FIPS permanecen seguros, ya que el código afectado está fuera de sus límites.
| Versión | CVEs vulnerables | Versión corregida |
|---|---|---|
| 3.6 | Todos excepto los específicos de 1.0.2 | 3.6.1 |
| 3.5 | La mayoría | 3.5.5 |
| 3.4 | La mayoría | 3.4.4 |
| 3.3 | Varios | 3.3.6 |
| 3.0 | CMS, BIO, etc. | 3.0.19 |
| 1.1.1 | BIO, OCB, PKCS#12 | 1.1.1ze (premium) |
| 1.0.2 | BIO, PKCS#7 | 1.0.2zn (premium) |
Aisle Research descubrió casi todas las fallas, con Stanislav Fort reportando la mayoría. Otros créditos incluyen a Luigino Camastra, Petr Šimeček, Tomas Dulka y Hamza (Metadust). Las correcciones fueron realizadas por Tomas Mraz, Igor Ustinov y otros.
Pasos de mitigación
Actualiza inmediatamente a las versiones 3.6.1, 3.5.5, etc. Evita entradas no confiables de PKCS#12/CMS y valida los tamaños de los archivos. Para la compresión en TLS 1.3, configura SSL_OP_NO_RX_CERTIFICATE_COMPRESSION. Los servidores que analizan S/MIME o marcas de tiempo deben parchearse primero debido a los riesgos remotos.
OpenSSL impulsa servidores web, VPNs y herramientas criptográficas en todo el mundo. Las actualizaciones rápidas previenen DoS o peores escenarios en producción. Verifica las dependencias mediante gestores de paquetes.
Fuentes:
https://cybersecuritynews.com/openssl-vulnerabilities-code-execution/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.