ZERODIUM es una conocida compañía que actúan como cazarrecompensas modernos, ofreciendo grandes cantidades de dinero a aquellos que sean capaces de encontrar vulnerabilidades en todo tipo de software.
Un fallo de seguridad bastante grave en la plataforma de WordPress permitiría a un atacante robarse el enlace para restablecer contraseña que envía el servicio a través de email.
Se trata de una vulnerabilidad día cero descubierta por el experto en seguridad Dawid Golunski, quien reportó el fallo a WordPress en julio del año pasado, y que hasta la fecha no ha sido resuelto. Es por ello que Golunski decidió publicar el mismo lo que encontró para que al menos los dueños de sitios web se protejan por sus propios medios de potenciales ataques.
Según han podido descubrir los investigadores de la firma McAffee, hay un nuevo bug zero-day de Microsoft Office que, al contrario que otros más conocidos e históricos que tienen que ver con macros, se aprovecha de un documento RTF con extension .doc.
Según explican los propios investigadores, gracias a este bug se puede instalar malware desde Microsoft Word. Para ello, una vez abierto el archivo malicioso el exploit se conecta a un servidor remoto, descarga un archivo que contiene código de aplicación HTML y que se guarda en el PC como un archivo .hta, que es ejecutable.
![Un exploit para Firefox permite desenmascarar y atacar a usuarios de Tor en Windows [Actualizado: solucionado]](https://i.blogs.es/cbe238/tor-browser/400_300.jpg)
Publicada por primera vez ayer en la web oficial de Tor, ha sido desvelado un exploit para Firefox que afecta sobre todo a los usuarios de Tor Browser, basado en el navegador de Mozilla y utilizado para navegar por la Darknet. Se trata de un exploit que se aprovecha de una nueva vulnerabilidad zero-day que también podría afectar a otros usuarios de Firefox según Ars Technica.
Lo que si se sabe es que su código está escrito en JavaScript, y que está siendo utilizado ahora mismo contra los usuarios del navegador del proyecto Tor, y es capaz de comprometer su anonimato y desenmascararlos. Estamos ante algo lo suficientemente serio y efectivo para que los desarrolladores de Mozilla hayan asegurado que ya están trabajando en una solución.
Java ha sufrido muchas vulnerabilidades en todos sus años, pero esta no es como otra cualquiera, es una vulnerabilidad muy peligrosa. Se ha descubierto un fallo de seguridad 0-day en la última versión 1.7 de Java, calificada por los propios desarrolladores con el grado crítico. El exploit instala un dropper (Dropper.MsPMs) que permite ejecutar sofware malicioso sin ser detectado por los programas antivirus.
Parece ser que Microsoft aprende de sus errores y rectifica. Por lo menos en los que se refiere a las vulnerabilidades críticas, como es el caso del último Zero-day descubierto. Microsoft lanza actualización fuera de calendario para parchear su último problema grave y con ello soluciona el problema que tenía el intérprete de comandos para la interpretación de los accesos directos, archivos con extension *.lnk y *.pif.
Esta vulnerabilidad era explotada utilizando archivos compartidos por red o WebDAV o unidades extraibles infectadas, para los que ni siquiera era necesario ejecutar el archivo. La cuestión es que, como era anunciado, los equipos con Windows XP SP2 ya no serán actualizados, como tampoco los equipos con Windows 2000, para los que ya no se ofrecen más actualizaciones.
