Como cada segundo martes de cada mes, Microsoft hizo públicos de nuevo el parche de seguridad correspondiente al mes de diciembre de 2020, en el cual se han corregido un total de 58 vulnerabilidades.

El pasado día 7 de diciembre un equipo de investigadores reveló nuevas funcionalidades del malware RANA. Estas nuevas funcionalidades permitirían espiar aplicaciones de mensajería, forzar conexiones WiFi y responder llamadas automáticamente con el propósito de espiar las conversaciones.

El equipo de seguridad que mantiene el repositorio npm ha localizado y eliminado dos paquetes que contenían código malicioso utilizado para instalar un troyano de acceso remoto (RAT) en los equipos de los desarrolladores.

El pasado 20 de Octubre la NSA publicó un informe con las 25 principales vulnerabilidades explotadas por grupos organizados patrocinados por el gobierno chino. Entre ellas se encuentra la CVE-2020-15505, que afecta a sistemas de gestión de dispositivos móviles (MDM) desarrollados por la empresa MobileIron, que fue adquirida por Ivanti en septiembre.

Noam Rotem y Ran Locar, investigadores de vpnMentor, han emitido un informe acerca de una base de datos de 72GB expuesta en la red que contendría 380 millones de combinaciones de usuario y contraseña utilizadas para un ataque de relleno de credenciales de Spotify.

Recientemente el grupo de ciber criminales ShinyHunters responsable de otros actos delictivos como por ejemplo el hackeo del repositorio privado de GitHub de Microsoft, ha publicado una lista de credenciales robadas con 3,2 millones de uno de los servicios de streaming gratuito más conocidos.

La aplicación Messenger para Android no implementaba correctamente el protocolo SDP de WebRTC, permitiendo a un atacante recibir audio mediante un paquete especialmente manipulado.

El 16 de noviembre, el investigador de la empresa Code White, Florian Hausser (@frycos), ha revelado el código de varias pruebas de concepto que afectan al interfaz web de los productos Cisco Security Manager (CSM).

Como cada segundo martes del mes, Microsoft lanza un paquete de actualizaciones de seguridad conocido como el ‘Patch Tuesday‘ de Microsoft. Los parches de noviembre corrigen 112 vulnerabilidades, incluida una de día cero explotada activamente, comunicada por el equipo de seguridad de Google la semana pasada.

La vulnerabilidad, que ha sido catalogada como de nivel medio, fue descubierta por el equipo de Threat Intelligence de Wordfence y podría permitir la inyección de objetos PHP.