Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2594
)
-
▼
abril
(Total:
269
)
-
Los cables de fibra óptica convertidos en micrófon...
-
Amazon, Microsoft y Google tienen un nuevo frente ...
-
macOS tiene una bomba de tiempo de red de 49,7 día...
-
Apple prepara un MacBook Neo 2 con un chip más ráp...
-
Microsoft comienza las actualizaciones forzadas a ...
-
Italia declara ilegales las subidas de precio de N...
-
La comprensión neural de texturas obra el milagro:...
-
Las gafas inteligentes ya son cosa del pasado: el ...
-
Microsoft lanza nueva actualización de Defender pa...
-
Windows 11 tendrá un sistema de “Feature Flags”
-
Chrome anuncia carga diferida de ficheros multimedia
-
Gato avisa a su dueño: la MSI GeForce RTX 4090 de ...
-
La directora de IA de AMD, confirma que Claude Cod...
-
OpenAI, Anthropic y Google se alían para frenar la...
-
Aficionado a la electrónica inicia construcción de...
-
La IA descubre una vulnerabilidad desconocida en e...
-
Los Intel Nova Lake estrenarán un nuevo mecanismo ...
-
Vulnerabilidad en Flowise AI Agent Builder explota...
-
Google amplía la carga diferida de Chrome a vídeo ...
-
El ‘device code phishing’ se dispara: 37 veces más...
-
Investigadores explotan PoC BlueHammer en Windows ...
-
Vulnerabilidades en IBM Identity y Verify Access p...
-
Linux seguirá añadiendo soporte para los discos GD...
-
Herramienta de Deep Fake amenaza KYC de plataforma...
-
Fabricantes taiwaneses de chips piden al gobierno ...
-
Chip de memoria más potente del mundo: funciona a ...
-
SK Hynix lanza su ofensiva en SSD para PC con el P...
-
Rusos secuestran routers TP-Link y MicroTik para r...
-
3DMark elimina varios smartphones de REDMAGIC por ...
-
La NASA ha lanzado su propio Google Maps con reali...
-
Microsoft confirma que la última actualización de ...
-
Gemini se actualiza para ofrecer mejores respuesta...
-
El FBI alerta sobre las apps en Android o iOS que ...
-
¿Adiós para siempre al ratón? Un estudio prevé una...
-
Google lanza en secreto una app de dictado con IA ...
-
NVIDIA Vera Rubin, características filtradas para ...
-
Múltiples vulnerabilidades en OpenSSL exponen dato...
-
ChromeOS Flex USB: recuperar PCs antiguos nunca fu...
-
Google se ofrece de forma gratuita a "salvar la vi...
-
Desarrolladores de Linux eliminan soporte para CPU...
-
Windows 11 elimina poco a poco los controladores d...
-
El FBI desarticula operación rusa de secuestro de ...
-
Amazon termina el soporte de estos Kindle: no podr...
-
El dardo a LaLiga de una web para programadores bl...
-
Muchos restaurantes de Estados Unidos ya piden a s...
-
Target tiene una IA agéntica para comprar por tí: ...
-
Investigadores de Google DeepMind advierten que ha...
-
Elon Musk está contratando personal en Europa: 260...
-
Windows 11 adapta el símbolo del sistema: ahora co...
-
Más de 2.000 instancias de FortiClient EMS expuest...
-
Hacienda en España está utilizando Pathfinder, el ...
-
Xiaomi pone en apuros a Claude y ChatGPT con su IA...
-
Intel se une a la Terafab: cierra un acuerdo con T...
-
El último modelo de IA de Anthropic identifica "mi...
-
Roban 286M$ al protocolo Drift en un presunto ataq...
-
Intel presenta su tecnología Neural Compression co...
-
Microsoft advierte que Storm-1175 explota fallos 0...
-
WhatsApp dejará de funcionar en 15 millones de móv...
-
El programa de recompensas por errores de Google a...
-
Grupos de ransomware Qilin y Warlock adoptan BYOVD...
-
Trabajador norcoreano de TI desenmascarado tras ne...
-
OpenAI propone una semana laboral de 4 días e impu...
-
La última actualización de Android 16 está dando p...
-
Movistar en España declara la guerra a las llamada...
-
La IA que modera YouTube borra un vídeo oficial de...
-
Intel dice que los Core Gen 14 son «tan buenos» qu...
-
Broadcom suministrará a Anthropic 3,5 gigavatios d...
-
Inversores exigen a Amazon, Microsoft y Google rev...
-
Samsung y Western Digital duplican el precio de su...
-
Investigador publica código de exploit 0-day de Wi...
-
Vulnerabilidad de inyección de comandos en OpenAI ...
-
Intel en conversaciones con Google y Amazon sobre ...
-
50.000 sitios WordPress expuestos a grave vulnerab...
-
El Intel Core 9 273QPE (12 Cores «Bartlett Lake-S»...
-
Colorful lanzará placas base para memoria RAM DDR3...
-
Visa presenta 6 herramientas de IA que gestionan l...
-
Netflix Playground, la nueva app con juegos para n...
-
Irán amenaza con destruir el centro de datos que t...
-
Robo de Drift Protocolo: ingeniería social durante...
-
Take-Two despide al jefe de división de IA y a los...
-
Vulnerabilidades en Apache Traffic Server permiten...
-
LinkedIn escanea más de 6.000 extensiones de Chrom...
-
Linux dice adiós al Intel 486 de 37 años: “ya no h...
-
pfSense+ 26.03 corrige el fallo PPPoE y refuerza l...
-
Expulsan a una concejala de su partido porque se p...
-
Netflix crea VOID, la IA que puede reescribir esce...
-
Subidas de hasta un 60% en la DRAM: prepara el bol...
-
"Todo ingeniero de Microsoft tenía un cronómetro",...
-
Serpent Lake apunta a CPU Intel con GPU NVIDIA RTX
-
El mantenedor de Axios confirma que el compromiso ...
-
La filtración del código de Claude desvela una mis...
-
LinkedIn oculta código que busca extensiones insta...
-
El AMD Ryzen 9 9950X3D2, y sus 200W de consumo, ex...
-
Vulnerabilidad crítica de día cero en Fortinet For...
-
Investigadores imprimen en 3D un robot del tamaño ...
-
Google sorprende con Gemma 4: su nueva IA que func...
-
Instala Win 3.1X en un Ryzen 9 9900X y RTX 5060 Ti...
-
Copilot no solo escribe código: también mete anunc...
-
Nuevo sofisticado ataque permite robar modelos de ...
-
Nueva campaña de ransomware similar a Akira que at...
-
-
▼
abril
(Total:
269
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
.png)
El escaneo de vulnerabilidades es la base de cualquier estrategia sólida de ciberseguridad, identificando y parcheando fallos antes de que s... -
Una web para programadores criticó a LaLiga por bloqueos indiscriminados, ironizando: " Si somos una web para 4 frikis, sois nuestros... -
Hacienda implementa Pathfinder , un software con IA que analiza documentos, chats, imágenes y vídeos para detectar delitos fiscales y sa...
Múltiples vulnerabilidades en OpenSSL exponen datos sensibles en el manejo de RSA KEM
OpenSSL ha lanzado una amplia actualización de seguridad en abril de 2026 que corrige siete vulnerabilidades en las ramas soportadas, lideradas por CVE-2026-31790, una falla de severidad moderada en el encapsulamiento RSA KEM RSASVE que puede exponer memoria no inicializada a un par malicioso. El aviso recomienda a los usuarios de versiones vulnerables 3.x migrar a OpenSSL 3.0.20, 3.3.7, 3.4.5, 3.5.6 o 3.6.2, según corresponda.
OpenSSL ha publicado una amplia actualización de seguridad de abril de 2026 que corrige siete vulnerabilidades en las ramas soportadas, lideradas por CVE-2026-31790, un fallo de gravedad moderada en la encapsulación RSA KEM RSASVE que puede exponer memoria no inicializada a un par malicioso.
El aviso dirige a los usuarios de versiones vulnerables 3.x a migrar a OpenSSL 3.0.20, 3.3.7, 3.4.5, 3.5.6 o 3.6.2, dependiendo de la rama en uso.
Vulnerabilidades de OpenSSL exponen datos
El problema más grave, CVE-2026-31790, afecta a aplicaciones que usan EVP_PKEY_encapsulate() con RSA/RSASVE para derivar un secreto compartido a partir de una clave pública RSA suministrada por un atacante sin validar primero esa clave.
Según OpenSSL, el error subyacente es una comprobación incorrecta del valor de retorno: RSA_public_encrypt() devuelve -1 en caso de fallo, pero el código afectado solo verificaba si el valor era distinto de cero, permitiendo que la encapsulación pareciera exitosa incluso cuando el cifrado había fallado realmente.
Este error lógico crea un resultado peligroso para los desarrolladores que usan búferes de texto cifrado suministrados por el llamante. Si la operación RSA falla, la API aún puede establecer longitudes de salida y devolver el control como si se hubiera generado un texto cifrado KEM válido, dejando bytes obsoletos o no inicializados en el búfer de texto cifrado para ser enviados de vuelta al par.
OpenSSL advirtió que esos bytes podrían contener datos sensibles sobrantes de una ejecución previa del proceso de la aplicación, convirtiendo lo que parece una operación criptográfica fallida en una condición de fuga de datos.
El proveedor indicó que el fallo afecta a OpenSSL 3.0, 3.3, 3.4, 3.5 y 3.6, mientras que OpenSSL 1.0.2 y 1.1.1 no están afectados. Los módulos FIPS en las versiones 3.6, 3.5, 3.4, 3.3, 3.1 y 3.0 también se ven impactados, lo que hace que el problema sea relevante no solo para implementaciones de propósito general, sino también para entornos regulados que dependen de límites criptográficos validados.
Como mitigación inmediata, OpenSSL recomienda llamar a EVP_PKEY_public_check() o EVP_PKEY_public_check_quick() antes de invocar EVP_PKEY_encapsulate().
Esta recomendación es importante porque la explotación depende de que la aplicación acepte una clave pública RSA inválida controlada por el atacante en primer lugar, lo que significa que los entornos que ya validan las claves públicas importadas están en una posición mucho mejor que las aplicaciones que tratan el material de clave como implícitamente confiable.
Junto al error de gravedad moderada en RSASVE, OpenSSL corrigió seis fallos de gravedad baja que son más situacionales pero igualmente importantes para los defensores que monitorean la exposición de la biblioteca.
Estos incluyen una lectura fuera de límites en AES-CFB-128 en sistemas x86-64 con soporte AVX-512 y VAES (CVE-2026-28386), un uso después de liberación en configuraciones poco comunes de cliente DANE (CVE-2026-28387), una desreferencia NULL en delta CRL (CVE-2026-28388), dos problemas de desreferencia NULL en el manejo de KeyAgreeRecipientInfo y KeyTransportRecipientInfo en CMS (CVE-2026-28389 y CVE-2026-28390), y un desbordamiento de búfer en el heap durante la conversión hexadecimal de OCTET STRING demasiado grandes en plataformas de 32 bits (CVE-2026-31789).
La mayoría de estos problemas crean principalmente condiciones de denegación de servicio, pero destacan un patrón de riesgo recurrente en las bibliotecas criptográficas: los caminos de análisis y manejo de errores en casos límite a menudo se convierten en superficies de ataque cuando las aplicaciones procesan certificados, objetos CMS, CRLs o claves públicas no confiables.
Para los equipos de seguridad, la actualización es un recordatorio de que la exposición a OpenSSL no se limita solo a la terminación TLS; las pasarelas de correo, herramientas de procesamiento de certificados, servicios CMS/S/MIME y aplicaciones personalizadas que usan APIs KEM modernas pueden necesitar revisión.
OpenSSL indicó que CVE-2026-31790 fue reportado por Simo Sorce de Red Hat el 23 de febrero de 2026, y la corrección fue desarrollada por Nikola Pajkovsky.
Las organizaciones que aún ejecutan versiones afectadas deberían priorizar la aplicación de parches y añadir validación explícita de claves públicas en cualquier flujo de trabajo que use encapsulación basada en RSA, especialmente donde material de clave remoto o suministrado por el usuario pueda alcanzar la superficie de la API.
Fuentes:
https://cybersecuritynews.com/openssl-vulnerabilities-expose-data/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.