Etiqueta
Apple ha reconocido un exploit de hardware en procesadores de varios modelos de iPhone que no tiene parche de software. El fallo, denominado usbliter8, reside en el BootROM y permite ataques durante el arranque. Los usuarios de dispositivos afectados deben considerar reemplazar sus equipos.
Un grave fallo de seguridad en el sitio web de Frontier Airlines permitía a cualquier persona acceder a los datos personales completos de cualquier pasajero solo con el número de reserva y el apellido. La vulnerabilidad, que ya fue parcheada, exponía información como dirección, pasaporte, TSA PreCheck y datos parciales de tarjeta de crédito.
Microsoft ha revelado una vulnerabilidad llamada AutoJack que afecta a sus agentes de inteligencia artificial. Al encadenar tres fallos menores, un atacante puede lograr ejecución remota de código (RCE) simplemente haciendo que el agente visite un sitio web malicioso. La compañía ya ha lanzado parches, pero el incidente subraya los riesgos de seguridad inherentes a los agentes autónomos.
Investigadores de la Universidad de Stanford lograron eludir las restricciones de ChatGPT para generar imágenes sexualizadas y violentas. El hallazgo expone debilidades en los filtros de seguridad de OpenAI y plantea serias preguntas sobre el control de contenido en modelos generativos.
Cisco ha confirmado que una vulnerabilidad crítica en Catalyst SD-WAN Manager (CVE-2026-20262) está siendo explotada activamente como 0-day. El fallo permite a atacantes con credenciales de bajo privilegio crear o sobrescribir archivos en el sistema operativo subyacente, escalando posteriormente a root. CISA ya la ha incluido en su catálogo de vulnerabilidades explotadas y exige parche en dos semanas.
Microsoft parcheó una vulnerabilidad crítica en Copilot que permitía a atacantes robar códigos 2FA y otros datos confidenciales de correos electrónicos. El fallo, descubierto por investigadores, explota la incapacidad de los LLM para distinguir entre instrucciones del usuario y contenido malicioso incrustado en terceros.
Investigadores de Varonis Threat Labs descubrieron una cadena de vulnerabilidades en Microsoft 365 Copilot Enterprise Search que permitía la exfiltración de correos electrónicos, calendarios y archivos indexados con un solo clic. El ataque, denominado SearchLeak, aprovechaba un enlace malicioso en un dominio legítimo de Microsoft, sorteando filtros antiphishing tradicionales.
Oracle ha emitido un aviso urgente sobre una vulnerabilidad de seguridad que, según un grupo de ciberdelincuentes, está siendo explotada activamente en una campaña masiva. Google notificó a más de 100 organizaciones con servidores potencialmente vulnerables. El fallo afecta a Oracle Fusion Middleware y permite la ejecución remota de código sin autenticación previa.