Se ha detectado una vulnerabilidad crítica denominada “PixelSmash” (CVE-2026-8461) en el decodificador MagicYUV de FFmpeg. Este fallo, calificado con una puntuación de 8.8 (Alta) en la escala CVSS, consiste en una escritura fuera de los límites del montón en el componente libavcodec. Esto permitiría a los atacantes utilizar archivos multimedia aparentemente inofensivos para lograr la ejecución remota de código (RCE).

Se ha identificado una vulnerabilidad de seguridad crítica en la biblioteca libssh2, identificada como CVE-2026-55200. Este fallo, con una puntuación de CVSS de 9.2, permite que atacantes remotos ejecuten código arbitrario mediante el envío de paquetes SSH especialmente diseñados, debido a un desbordamiento de búfer provocado por un desbordamiento de enteros (CWE-680).

El modelo Mythos de Anthropic presuntamente vulneró sistemas clasificados de la NSA durante una prueba de seguridad controlada, lo que llevó al gobierno de EE. UU. a prohibir el acceso a sus modelos más avanzados por seguridad nacional. Mientras que el gobierno sugiere una capacidad ofensiva alarmante, Anthropic afirma que se trató de un error menor de software ya conocido. Actualmente, la empresa trabaja con la Casa Blanca para restablecer el servicio y mantiene ingenieros integrados en la NSA.

Se ha descubierto una vulnerabilidad crítica de divulgación de memoria en Squid Proxy denominada "Squidbleed", la cual ha estado presente desde 1997. Este fallo, similar a Heartbleed, permite la filtración silenciosa de cabeceras HTTP, incluyendo contraseñas y claves API de otros usuarios que utilicen el mismo proxy. El hallazgo fue realizado por investigadores de Calif.io con la ayuda del modelo de IA Claude Mythos Preview de Anthropic.

Los programas de bug bounty permiten a los hackers obtener compensaciones económicas por especializarse en descubrir vulnerabilidades de seguridad.

OpenAI lanzó GPT-5.5-Cyber y la iniciativa Daybreak para ayudar a defensores a detectar y corregir vulnerabilidades de software rápidamente. Además, mediante el proyecto Patch the Planet, busca asegurar proyectos de código abierto y reducir la carga de los mantenedores. Estas medidas responden al riesgo de que atacantes usen IA avanzada para acelerar y facilitar los ciberataques.

OpenAI lanza GPT-5.5 Cyber, una inteligencia artificial especializada en detectar y corregir vulnerabilidades de software para prevenir ciberataques.

QNAP ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en sus sistemas operativos NAS, incluyendo QTS, QuTS hero, QuTS cloud y QVP. Estas fallas críticas podrían permitir que atacantes ejecuten comandos arbitrarios, provoquen denegaciones de servicio (DoS) y evadan los controles de acceso.

Se ha descubierto una vulnerabilidad en el proxy Squid llamada Squidbleed (CVE-2026-47729) que permite filtrar datos confidenciales de otros usuarios, como credenciales y tokens de sesión. El fallo ocurre en el analizador de FTP y puede ser explotado por usuarios que ya tengan acceso al proxy. Para solucionarlo, se recomienda actualizar el software o, preferiblemente, desactivar el soporte de FTP.

Se ha lanzado la versión 9.16 de pgAdmin 4, la popular herramienta de gestión de PostgreSQL. Esta actualización incluye 64 correcciones de errores y resuelve siete vulnerabilidades de seguridad (desde CVE-2026-12044 hasta CVE-2026-12050), con el objetivo de reforzar la plataforma.

Apple ha corregido una vulnerabilidad de alta gravedad en los Beats Studio Buds que permitía a atacantes cercanos escuchar a los usuarios a través del micrófono, incluso si los auriculares no estaban vinculados. Este fallo de Bluetooth fue solucionado mediante la actualización de firmware 1B211, lanzada el 16 de junio de 2026.

Gizmodo confirmó haber sufrido un incidente de seguridad donde se inyectaron ventanas falsas de CAPTCHA para engañar a los usuarios y ejecutar código malicioso. El ataque, vinculado al programa ClickFix, intentó instalar el malware NetSupport RAT en Windows y un archivo ZIP en macOS. El sitio ya resolvió el problema eliminando el script y asegurando la cuenta comprometida.

La banda de ransomware-as-a-service (RaaS) Gentlemen ha utilizado un sofisticado framework llamado GentleKiller para desactivar sistemáticamente herramientas de seguridad de endpoints antes de desplegar su carga maliciosa. Según un informe de ESET publicado el 17 de junio de 2026, este grupo —uno de los más activos en el primer trimestre de ese año— proporciona a sus afiliados una suite centralizada mantenida por operadores para eliminar procesos de EDR y evadir la detección.

Se ha descubierto AutoJack, una cadena de tres vulnerabilidades críticas que permite que una sola página web maliciosa tome el control del agente de navegación de AutoGen Studio (la interfaz de Microsoft Research para sistemas de IA multi-agente). Este exploit permite la ejecución de código arbitrario en la máquina anfitriona sin requerir ninguna interacción del usuario más allá del envío de una URL.