Notícies, guies i novetats del món del programari lliure
Debian va publicar DSA-6360-1 per corregir quatre vulnerabilitats del proxy Squid, entre elles Squidbleed (CVE-2026-47729), que pot filtrar capçaleres HTTP d'altres usuaris. Què afecta i com actualitzar.
Llegir més →Ubuntu corregeix diverses vulnerabilitats a libheif amb l'avís USN-8454-1. Una imatge HEIF o AVIF manipulada podia provocar denegació de servei o execució de codi. T'expliquem a qui afecta i com actualitzar.
Llegir més →Un mòdem 5G MediaTek maliciós pot llegir fins a 262140 bytes de memòria del kernel a través del driver t7xx. Què afecta, gravetat i com aplicar el pegat.
Llegir més →Una mala gestió de les capçaleres grans als mòduls proxy_v2 i gRPC de nginx pot reiniciar el worker i, sense ASLR, obrir la porta a l'execució de codi. F5 ho corregeix a 1.31.2 i 1.30.3; Ubuntu a USN-8458-1.
Llegir més →Un error d'ús després d'alliberar al mòdul HTTP/3 de NGINX permet a un atacant remot sense autenticar tombar els processos worker, i en sistemes sense ASLR arribar a executar codi. Afecta 1.31.0 i 1.31.1; es corregeix a 1.31.2.
Llegir més →El visor de documents Atril del MATE arrossegava una injecció d'ordres (CVE-2026-46529) que permetia executar codi amb un sol clic. Debian ho va corregir a Trixie i Bookworm.
Llegir més →El kernel 7.1 amplia Landlock als sockets UNIX, activa Intel FRED per defecte i porta dos canvis de xarxa (IPv6 i UDP-Lite) que poden trencar la teva configuració si compiles kernels a mida.
Llegir més →Una fallada de bounds checking a virtio_blk_handle_scsi permet que una VM amb CAP_SYS_ADMIN corrompi el heap i faci caure el procés QEMU de l'amfitrió. CVSS 8.2. Actualitza a QEMU 9.2.1.
Llegir més →Un XSS a OWA permet executar JavaScript només obrint un correu al navegador. Microsoft ja l'havia mitigat al maig i CISA el va incloure al seu catàleg de fallades explotades.
Llegir més →Hyunwoo Kim va divulgar ITScape, un use-after-free a la memòria cau del vGIC-ITS de KVM/arm64 que deixa una VM convidada executar codi com a root a l'amfitrió. Què és, a qui afecta i com aplicar el pegat.
Llegir més →Microsoft va corregir el juny de 2026 una falla CVSS 9.8 al servei client DHCP de Windows que permetria executar codi en remot. Afecta tots els Windows amb client DHCP.
Llegir més →Un missatge S/MIME malformat pot alliberar un BIO que l'aplicació encara fa servir en cridar PKCS7_verify(). Afecta les branques 1.0.2, 1.1.1, 3.0, 3.4, 3.5, 3.6 i 4.0 d'OpenSSL.
Llegir més →Una errada al driver de kernel HTTP.sys permet RCE no autenticada amb peticions HTTP enormes. Afecta IIS, WinRM i WCF, però només si vas pujar MaxRequestBytes.
Llegir més →Una fallada de consum de recursos a la implementació HTTP/2 de Windows permet a un atacant remot provocar una denegació de servei enviant molt poques dades. CVSS 7.5, corregit al Patch Tuesday de juny de 2026.
Llegir més →Un error a la ruta de recepció de KTLS deixa que un usuari sense privilegis sobreescrigui fitxers arbitraris via loopback. Versions afectades, pedaç del 9 de juny de 2026 i mitigació.
Llegir més →Un usuari local sense privilegis podia injectar una llibreria amb LD_PRELOAD en un binari setuid de Linux executat sota el Linuxulator de FreeBSD i heretar-ne els privilegis. Què falla, a qui afecta i com aplicar el pegat.
Llegir més →Un error de maquinari en processadors Cortex-A, Neoverse i Ampere deixa escriure a memòria després de revocar els permisos de pàgina. FreeBSD aplica una mitigació al kernel per a les branques 14.x i 15.x.
Llegir més →Microsoft pegata tres errors d'execució remota de codi a Hyper-V que permeten escapar d'una VM cap al servidor amfitrió, més una fuita de memòria del host.
Llegir més →Microsoft corregeix 198 vulnerabilitats el juny de 2026, el seu butlletí més gran fins ara, amb 32 de crítiques, tres zero-days i un RCE de CVSS 9.8 al kernel de Windows.
Llegir més →El projecte Xen va publicar el 9 de juny de 2026 quatre avisos. XSA-494 (CVE-2026-42488) permet corrupció de memòria, escalada de privilegis i caiguda del host; XSA-491 (CVE-2026-42487) permet a un device model tombar l'hipervisor.
Llegir més →Google tapa a Chrome 149.0.7827.103 una lectura/escriptura fora de límits a V8 amb exploit actiu. Què afecta, gravetat i com actualitzar.
Llegir més →Debian corregeix errors de bypass d'autorització, escalada de privilegis i suplantació d'usuaris a Keystone per a Bookworm i Trixie. T'expliquem què cal actualitzar.
Llegir més →Red Hat pegata CVE-2026-37457 i CVE-2026-37459 a FRRouting: dues maneres de tombar el dimoni bgpd amb un BGP UPDATE manipulat. Actualitza a FRR 10.4.4 a RHEL 10.
Llegir més →Red Hat corregeix a RHEL 10 una denegació de servei al driver PostgreSQL JDBC: un servidor hostil força un càlcul PBKDF2 desbocat durant l'autenticació SCRAM-SHA-256. CVSS 7.5.
Llegir més →Broadcom corregeix tres errors de XSS emmagatzemat (CVE-2026-41722, 41723 i 41724) amb CVSS 8.0 a VMware Cloud Foundation Operations. No hi ha mitigació: cal actualitzar.
Llegir més →CVE-2026-46243 permet a un usuari sense privilegis obrir una shell de root abusant de l'upcall SPNEGO del mòdul CIFS. Afecta Red Hat, Ubuntu, Debian, SUSE, Oracle Linux i Amazon Linux.
Llegir més →La HTTP/2 Bomb combina la compressió HPACK amb el control de flux per esgotar la RAM de nginx, Apache, IIS, Envoy i Pingora. Versions afectades, impacte i pegats.
Llegir més →L'errata 037 d'OpenBSD 7.8 pegata múltiples vulnerabilitats a les extensions dri2, sync, saver i Xkb del servidor X. Què afecta i com aplicar el pegat.
Llegir més →Una condició de cursa a tls_sk_proto_close() del kernel Linux permet un use-after-free en tancar un socket TLS mentre un altre fil canvia opcions. Divulgada a oss-security el 2 de juny de 2026.
Llegir més →Google corregeix més d'un centenar de vulnerabilitats a Android. CVE-2025-48595, una elevació de privilegis al Framework, podria estar sota explotació dirigida.
Llegir més →Un desbordament de pila al servei Netlogon de Windows Server permet a un atacant remot sense autenticació executar codi en un controlador de domini. Què és, a qui afecta i com protegir-te.
Llegir més →Un doble free a la ruta d'error de create_space_info() de Btrfs pot corrompre la memòria del kernel. T'expliquem qui afecta, la gravetat i com aplicar el pedaç.
Llegir més →Ubuntu publica USN-8306-1 amb pedaços per a sis vulnerabilitats de Samba, incloses dues que permeten execució de codi arbitrari al servidor SAMR i al subsistema d'impressió.
Llegir més →Una actualització estable de Chrome del 22 de maig de 2026 tapa un error crític a WebRTC sobre Linux: només cal visitar un web maliciós perquè s'executi codi. Versions afectades, pedaç i mitigació.
Llegir més →Vuit paquets PHP de Packagist, entre ells devdojo/wave i devdojo/genesis, executaven un binari Linux descarregat des de GitHub. En paral·lel, centenars de versions de laravel-lang van ser republicades amb un robacredencials després de filtrar-se un token de GitHub.
Llegir més →La crida setcred(2) copiava la llista de grups suplementaris en un buffer de pila del kernel sense validar-ne la longitud, cosa que permet a un usuari local sense privilegis executar codi al kernel i escalar a root a FreeBSD 14.3, 14.4 i 15.0.
Llegir més →Una validacio deficient de parametres a ptrace(PT_SC_REMOTE) permetia que un usuari local sense privilegis executes codi al kernel de FreeBSD. Sense workaround: cal aplicar el pedac.
Llegir més →Un error de lògica a libcap_net tractava una restricció omesa com a 'permet qualsevol', de manera que una aplicació dins d'un sandbox Capsicum podia guanyar permisos de xarxa en comptes de perdre'ls. Què falla, a qui afecta i com aplicar el pegat.
Llegir més →Mozilla publica Firefox 151 amb 27 errors corregits, entre ells una fuga del sandbox a Android, un use-after-free a DOM Bindings i un bypass de same-origin. Val la pena actualitzar ja.
Llegir més →Un error de lògica al subsistema ptrace del kernel Linux permet a un usuari local sense privilegis robar les claus de host SSH i els hash de contrasenyes. Hi és des del 2016 i ja hi ha pedaços per a Debian, Ubuntu, Fedora, SUSE, AlmaLinux i CloudLinux.
Llegir més →skb_try_coalesce() perd el marcador SKBFL_SHARED_FRAG i deixa escriure sobre pàgines del page cache. Un usuari local sense privilegis aconsegueix root. AlmaLinux ja té kernels corregits.
Llegir més →Un desbordament de heap a ngx_http_rewrite_module amb CVSS 9.2 deixa NGINX exposat a execució remota de codi. Red Hat ja el corregeix a RHEL 9 amb RHSA-2026:18029. Què és, a qui afecta i com mitigar-lo.
Llegir més →Microsoft va corregir el maig de 2026 un desbordament de heap a GDI que permet executar codi en obrir un Enhanced Metafile manipulat amb Microsoft Paint. Detalls, abast i mitigació.
Llegir més →Microsoft pegata quatre vulnerabilitats RCE a Word (CVSS 8.4) el maig de 2026. El Preview Pane actua com a vector i dues tenen explotació més probable.
Llegir més →Microsoft va corregir CVE-2026-41096, un error crític al client DNS de Windows que permet execució remota de codi a través d'una resposta DNS especialment dissenyada. Es va resoldre al Patch Tuesday de maig de 2026.
Llegir més →Una validació SAML defectuosa al Microsoft SSO Plugin per a Jira i Confluence (CVSS 9.1) deixa que un atacant no autenticat forgi identitats i entri com qualsevol usuari. Versions afectades i pedaç.
Llegir més →Un use-after-free durant el tancament TLS en builds d'Exim amb GnuTLS permet RCE remot sense autenticació en processar SMTP amb BDAT. Afecta Exim 4.97 a 4.99.2 i es corregeix a 4.99.3.
Llegir més →Microsoft tanca unes 120 vulnerabilitats al butlletí de maig de 2026, 17 de crítiques i sense zero-days coneguts en el moment del llançament. T'expliquem què es corregeix i per què convé actualitzar ja.
Llegir més →Apple publica iOS 26.5 i iPadOS 26.5 amb més de 90 pegats de seguretat. CVE-2026-28951 és un error d'autorització al kernel que permetria a una app obtenir privilegis de root.
Llegir més →Apple publica macOS Tahoe 26.5 amb pedaços a més de vint subsistemes. CVE-2026-28954 deixa passar imatges de disc malicioses saltant-se Gatekeeper, i dos errors de kernel permeten tocar memòria privilegiada.
Llegir més →Una condició write-what-where a ESP combinada amb una fallada d'escalada a RxRPC permet que un usuari local sense privilegis arribi a root. Hi ha PoC públics i no hi havia pedaç universal el 8 de maig de 2026.
Llegir més →Un error en la gestió de memòria del kernel Linux deixa punters bruts a page->private i pot dur a corrupció de memòria o escalada de privilegis. Afecta des de la 5.18 i és rellevant en WSL2 i contenidors. Què és, a qui afecta i com aplicar el pegat.
Llegir més →USN-8245-1 corregeix EntrySign (CVE-2024-36347), el fallada de verificació de microcodi als processadors AMD Zen, juntament amb més d'un centenar de vulnerabilitats del kernel. T'expliquem a qui afecta i com actualitzar.
Llegir més →Red Hat publica una actualització Important del kernel de RHEL 8 que corregeix sis CVE, entre ells una escalada de privilegis a KVM i un desbordament de heap a la memòria cau de LOCK de NFSv4.0.
Llegir més →Una fallada crítica de bypass d'autenticació a cPanel/WHM permet controlar el panell sense credencials. Va entrar al catàleg KEV de CISA i es va explotar en massa per xifrar webs amb l'extensió .sorry.
Llegir més →Una validacio incorrecta a pf permet recursio sense limit en analitzar chunks SCTP i provoca un panic. Afecta FreeBSD 13.5, 14.3, 14.4 i 15.0. Aixi es corregeix.
Llegir més →Un error de precedència d'operadors al kernel de FreeBSD permet escalar a superusuari des d'un compte sense privilegis. Corregit el 29 d'abril de 2026 a FreeBSD-SA-26:13.exec.
Llegir més →Un error de 15 anys a OpenSSH deixava que un certificat amb un principal tipus 'deploy,root' saltés el control d'accés i autentiqués com a root. Es corregeix a OpenSSH 10.3.
Llegir més →Qualys va trobar 11 CVE al mòdul AppArmor del nucli Linux. Un usuari local sense privilegis podia carregar, substituir o esborrar perfils, escalar a root o escapar d'un contenidor. Ubuntu ho va corregir a la USN-8201-1.
Llegir més →Una regressió a .NET 10.0.6 va fer que ASP.NET Core Data Protection validés l'HMAC sobre els bytes equivocats. El resultat: cookies d'autenticació falsificables i escalada a SYSTEM. Microsoft va treure la 10.0.7 fora de banda.
Llegir més →OpenBSD 7.7 i 7.8 pegaten una lectura fora de límits a libXpm en processar fitxers XPM manipulats. Què afecta, com de greu és i com aplicar el pegat.
Llegir més →L'actualització SUSE-SU-2026:1369-1 posa pegat a dos problemes de resolució DNS a glibc: una resposta de servidor manipulada que confon el resolver i un nom de host invàlid retornat per gethostbyaddr. Versions afectades, gravetat i com actualitzar.
Llegir més →Microsoft va corregir l'abril de 2026 un zero-day de SharePoint (CVE-2026-32201) que ja s'estava explotant: un atacant no autenticat pot veure dades sensibles i alterar informació. Què afecta i com protegir-te.
Llegir més →Un double free a l'extensio IKE de Windows (CVSS 9.8) permet execucio remota de codi sense autenticar i es wormable. Que es, a qui afecta i com protegir-te.
Llegir més →Una elevació de privilegis a la plataforma antimalware de Microsoft Defender, anomenada BlueHammer, permet que un usuari sense privilegis executi codi com a SYSTEM a Windows 10 i 11.
Llegir més →Un error de sincronització a la pila TCP/IP de Windows permet executar codi en remot sense autenticació ni interacció de l'usuari quan hi ha IPv6 i IPSec actius. CVSS 8.1, corregit al Patch Tuesday d'abril de 2026.
Llegir més →El butlletí d'abril de 2026 corregeix 167 vulnerabilitats a Windows, Office, SharePoint i Defender, amb vuit de crítiques i dos zero-days: un de SharePoint explotat en atacs i un de Defender divulgat abans del pedaç.
Llegir més →Red Hat actualitza el client rhc a RHEL 8 per un error Important: el parseig incorrecte de literals IPv6 a net/url pot tractar malament les URL en connectar amb els serveis gestionats.
Llegir més →Linus Torvalds va publicar el kernel 7.0 el 12 d'abril de 2026. Repassem els canvis que afecten la seguretat i la robustesa: el mode auto d'Intel TSX i l'autoreparació de XFS.
Llegir més →Un error de prototype pollution al motor JavaScript d'Acrobat Reader permet executar codi en obrir un PDF maliciós. CISA el va incloure al catàleg KEV i Adobe va treure pegat d'emergència.
Llegir més →Debian corregeix CVE-2026-3497, un error al seu pedaç de GSSAPI Key Exchange per a OpenSSH que un atacant remot pot fer servir per tombar processos SSH o, en el pitjor cas, executar codi.
Llegir més →Repàs de les actualitzacions de seguretat d'Apple de l'abril de 2026: macOS Tahoe 26.4.1, iOS/iPadOS 26.4.1, 26.4.2 i 18.7.8, cap amb entrades CVE publicades.
Llegir més →L'actualització d'OpenSSL del 7 d'abril de 2026 corregeix CVE-2026-28387 (use-after-free a DANE) i CVE-2026-28386 (lectura fora de límits a AES-CFB128). A qui afecta i com actualitzar.
Llegir més →Mozilla publica Firefox 149.0.2 per corregir diversos errors de seguretat de memoria d'impacte alt, alguns amb indicis de corrupcio de memoria. Si fas servir Firefox o Thunderbird, actualitza ja.
Llegir més →Un error al subsistema DVB del kernel Linux permet llegir un punter de funció fora dels límits d'una taula i invocar-lo. Afecta versions des de 2.6.12. Què passa i com protegir-se.
Llegir més →Un error en el seguiment de connexions SCTP del kernel Linux permet a un usuari local llegir memòria del kernel per falta de validació netlink. CVSS 7.1. A qui afecta i quines versions el corregeixen.
Llegir més →Una condició de cursa a sco_recv_frame() allibera el socket abans d'hora i obre la porta a un use-after-free al Bluetooth del nucli. CVSS 8.8. Això és el que afecta i com pegar-ho.
Llegir més →L'errata 027 d'OpenBSD 7.8 corregeix errors a iked, el dimoni que negocia túnels IPsec. Un paquet maliciós podia llegir memòria fora de rang o tombar el servei.
Llegir més →Un desbordament de pila a la validació de paquets RPCSEC_GSS permet executar codi amb privilegis de kernel als servidors NFS de FreeBSD sense autenticació prèvia. Versions afectades, impacte i pedaços del 26 de març de 2026.
Llegir més →macOS Tahoe 26.4 corregeix CVE-2026-20698, un error de gestió de memòria al kernel que permetia a una app aturar el sistema o corrompre la memòria del kernel.
Llegir més →Apple corregeix més de 70 errors a macOS Tahoe 26.4. El més greu deixa que una app obtingui privilegis de root a través del PackageKit. Què afecta i com actualitzar.
Llegir més →Mozilla publica Firefox 149 amb 34 correccions, 17 d'alt impacte. Entre elles un use-after-free a WebRender i diversos errors de memòria amb indicis de corrupció explotable.
Llegir més →Una lectura de memoria a NetScaler ADC i Gateway configurats com a IdP SAML deixa escapar tokens de sessio. Ja hi ha explotacio activa i CISA marca data limit de pegat.
Llegir més →Una optimització del mòdul crypto AF_ALG del kernel deixa que un usuari local escrigui 4 bytes a qualsevol fitxer en cau i es converteixi en root. Afecta gairebé totes les distribucions.
Llegir més →Google publica Chrome 146.0.7680.164/165 amb pegats per a un desbordament de heap a WebGL i un use-after-free a Dawn, tots dos explotables amb una pàgina web manipulada.
Llegir més →L'errata 024 d'OpenBSD 7.8 corregeix CVE-2026-32776, 32777 i 32778 a libexpat, que permetien penjar o tombar aplicacions en processar XML malformat.
Llegir més →Un error crític (CVSS 9.1) fa que aplicacions servlet amb Spring Security perdin capçaleres com Content-Security-Policy o Strict-Transport-Security sense avisar. Versions afectades i pedaç.
Llegir més →Un error a net/sched/act_gate.c del kernel Linux permetia a un usuari local provocar accés a memòria inconsistent en reemplaçar l'acció gate mentre un timer o un dump recorrien la llista del schedule. CVSS 7.8.
Llegir més →Apple fa servir per primer cop els Background Security Improvements per corregir CVE-2026-20643, un error de la Navigation API de WebKit que saltava la política del mateix origen a iOS i macOS.
Llegir més →Qualys destapa CrackArmor, un grup de vulnerabilitats de tipus confused deputy a l'AppArmor presents des del 2017 que permeten a un usuari local escalar a root i trencar l'aïllament de contenidors.
Llegir més →Canonical reparteix les correccions de CrackArmor en tres fronts: kernel, sudo i util-linux. Què arregla cada paquet i per què cal aplicar-los tots alhora.
Llegir més →Debian publica DSA-6162-1 i corregeix a trixie les vulnerabilitats CrackArmor d'AppArmor descobertes per Qualys, que permeten escalar a root. Versió corregida: 6.12.74-2.
Llegir més →Debian publica una actualització del nucli Linux per a Debian 12 Bookworm que agrupa 49 errors, inclosos els d'AppArmor descoberts per Qualys. Versió corregida: 6.1.164-1.
Llegir més →Microsoft va corregir el març de 2026 un error de control d'accés a SQL Server que permet a un usuari autenticat escalar fins a privilegis de sysadmin sobre la base de dades. CVSS 8.8.
Llegir més →Una condició de cursa a net/tls/tls_sw.c deixa que un worker toqui memòria ja alliberada. Què afecta, quines versions i com es corregeix.
Llegir més →Microsoft qualifica de crítica aquesta fuita d'informació a Excel. Encadenada amb l'agent de Copilot, permet exfiltrar dades sensibles sense que l'usuari faci res. Corregida al Patch Tuesday de març de 2026.
Llegir més →El butlletí de seguretat de març de 2026 corregeix 79 vulnerabilitats a Windows, Office, SQL Server, .NET i Azure, amb dos zero-days divulgats i quatre errors crítics a Office i Excel.
Llegir més →Una fallada crítica a Cisco Catalyst SD-WAN Controller i Manager permet a un atacant remot sense credencials entrar com a usuari d'alts privilegis. Cisco confirma explotació activa atribuïda a UAT-8616.
Llegir més →Un error de deserialització a Cisco Secure Firewall Management Center (CVSS 10.0) permet executar codi com a root sense autenticar-se. El ransomware Interlock el va fer servir com a 0-day des del gener de 2026.
Llegir més →El driver de framebuffer smscufx del kernel Linux dereferenciava punters d'espai d'usuari sense copiar-los abans. Un usuari local podia corrompre memòria del kernel i tombar el sistema. Això és el que afecta i com pegar-ho.
Llegir més →Canonical va publicar el 4 de març de 2026 pedaços de kernel per a Ubuntu 25.10 i les branques LTS 24.04, 22.04, 20.04 i 18.04, corregint CVE-2025-40214 i altres errades.
Llegir més →Debian pegat LXD per una injecció de salts de línia (CVE-2026-23953, CVSS 8.7) que deixa afegir hooks arbitraris a lxc.conf i executar ordres com a root a l'amfitrió.
Llegir més →Broadcom corregeix una fallada d'injecció de comandes no autenticada a VMware Aria Operations (CVSS 8.1) que permet RCE durant migracions assistides. Explotada a la natura i afegida al catàleg KEV de CISA.
Llegir més →Un usuari sense privilegis pot provocar un panic del nucli a FreeBSD explotant un desbordament de búfer de pila a rtsock_msg_buffer(). T'expliquem a qui afecta, la gravetat i com aplicar el pegat.
Llegir més →Mozilla publica Firefox 148 (MFSA 2026-13) amb 45 CVE, 28 d'alt impacte, incloent-hi escapaments de sandbox i errors de memòria que podrien permetre execució de codi. Actualitza ja.
Llegir més →Ubuntu publica USN-8059-1 amb correccions del nucli Linux que afecten el subsistema SMB. T'expliquem què es corregeix, a qui afecta i com actualitzar.
Llegir més →Una fallada de sincronitzacio al servidor SMB3 del nucli Linux (ksmbd) permet un use-after-free en sessions multicanal. Afecta nuclis 6.3 fins a 6.19.0. Expliquem el risc, a qui afecta i com mitigar-lo.
Llegir més →Debian corregeix desenes de vulnerabilitats del kernel Linux a trixie amb la versió 6.12.73-1. Riscos d'escalada de privilegis, denegació de servei i fuita d'informació.
Llegir més →Google publica una correcció d'urgència d'un use-after-free al motor CSS de Chrome (CVE-2026-2441), explotat en atacs reals. Què és, a qui afecta i com actualitzar.
Llegir més →Debian publica DSA-6131-1 per corregir CVE-2026-1642 a nginx, una condició de cursa que permet injectar dades en text clar a les respostes de servidors TLS upstream proxificats.
Llegir més →Una corrupció de memòria a dyld, l'enllaçador dinàmic d'Apple, permetia execució de codi i es va usar en atacs sofisticats. Corregit a iOS, macOS, watchOS, tvOS i visionOS 26.3.
Llegir més →Ubuntu publica USN-8028-1 per a 24.04 LTS: nombrosos errors del nucli Linux i problemes d'AMD, inclòs CVE-2024-36331 a SEV-SNP. A qui afecta i com actualitzar.
Llegir més →Microsoft pegata el febrer de 2026 un bypass de seguretat al framework MSHTML (CVE-2026-21513, CVSS 8.8) explotat com a zero-day pel grup APT28 mitjançant accessos directes i fitxers HTML maliciosos.
Llegir més →Una falla de bypass de funció de seguretat a Microsoft Word, explotada com a zero-day, evita les proteccions OLE i Mark-of-the-Web. Què és, a qui afecta i com pegar-ho.
Llegir més →Una vulnerabilitat d'elevació de privilegis a Windows Remote Desktop Services, explotada com a zero-day, permet a un atacant local escalar a SYSTEM manipulant el registre. Què és, a qui afecta i com mitigar-la.
Llegir més →Un error a blocklistd(8) de FreeBSD 15.0 filtra un descriptor de socket per cada esdeveniment, esgota recursos i permet que un atacant desactivi el bloqueig automàtic d'IP abans del seu atac.
Llegir més →Una vulnerabilitat crítica de control d'accés indegut (CWE-284) a Azure Front Door permet elevar privilegis sense autenticació. T'expliquem a qui afecta, la gravetat i què cal fer.
Llegir més →El Patch Tuesday de febrer de 2026 corregeix 58 vulnerabilitats a Windows, incloent-hi 6 zero-days explotats activament, 5 errors crítics i nous certificats de Secure Boot.
Llegir més →OpenBSD 7.7 i 7.8 publiquen l'errata 014 per corregir una desreferència de punter NULL i un desbordament d'enter a libexpat que poden provocar denegació de servei en analitzar XML.
Llegir més →Debian publica DSA-6126-1, una actualització del nucli Linux que resol més de 170 CVE amb risc d'escalada de privilegis, denegació de servei i fuita d'informació. Corregit a 6.12.69-1 per a Trixie.
Llegir més →Un desbordament de buffer de pila sense autenticació a xrdp permet execució remota de codi (CVSS 9.8). Debian va publicar pedaços per a bookworm i trixie. Què afecta i com mitigar-ho.
Llegir més →Una injecció de comandes sense autenticació a BeyondTrust Remote Support i Privileged Remote Access permet execució remota de codi. Explotada com a zero-day i usada en atacs de ransomware. Què és, a qui afecta i com mitigar-la.
Llegir més →Una fallada crítica a l'endpoint ConnectToHub de SmarterMail permet RCE sense autenticació. Explotada pel grup Storm-2603 en atacs de ransomware. CISA va ordenar aplicar el pegat.
Llegir més →Una condició invertida a nft_map_catchall_activate() del kernel Linux provoca un use-after-free explotable per escalar d'usuari sense privilegis a root. Qui afecta, quina gravetat té i com mitigar-lo.
Llegir més →Un underflow d'enter en el càlcul de crèdits de vsock/virtio pot encuar més dades de les que el par pot gestionar. Afecta un ampli ventall de versions del kernel Linux. CVSS 5.5.
Llegir més →Una fallada use-after-free a la disciplina de cua teql del control de trànsit del kernel Linux permet escalar privilegis localment. Afecta des de 2.6.12 fins a diverses branques estables. CVSS 7.8.
Llegir més →El projecte OpenBSD ha publicat l'errata 013 per a 7.8 que corregeix un use-after-free al seu servidor web httpd(8) en processar peticions amb codificació de transferència chunked. Disponible via syspatch.
Llegir més →El grup ShinyHunters reclama el robatori d'uns 10 milions de registres d'usuaris de Match Group després de comprometre credencials SSO d'Okta mitjançant vishing. Què es va filtrar i com protegir-se.
Llegir més →OpenSSL corregeix un error en la verificació MAC d'arxius PKCS#12 protegits amb PBMAC1 que pot provocar desbordament de pila o denegació de servei. Versions afectades, gravetat i pedaços.
Llegir més →Un usuari root dins d'una jail de FreeBSD amb allow.mount.nullfs pot escapar del chroot i accedir a tot el sistema de fitxers del host. Anàlisi de l'avís FreeBSD-SA-26:02.jail.
Llegir més →Una fallada en el codi de tracing de Xen permet que un guest HVM en shadow paging sobreescrigui buffers per-CPU, amb risc d'escalada de privilegis, fuita d'informació o denegació de servei en x86.
Llegir més →Una condició de cursa TOCTOU a varstored, el component del toolstack Xapi que gestiona les variables UEFI, permet a un atacant amb accés de kernel a la VM executar codi i escalar privilegis. T'expliquem a qui afecta i com mitigar-ho.
Llegir més →Un IBPB incomplet durant els canvis de context de vCPU a Xen permet que un procés del guest filtri dades privades d'altres tasques a la mateixa CPU. Afecta x86; ARM no es veu impactat.
Llegir més →ISC corregeix a BIND 9 un error de denegació de servei (CVSS 7.5) que permet a un atacant remot i sense autenticació avortar el dimoni named amb registres DNS malformats. Què és, a qui afecta i com apedaçar-lo.
Llegir més →Una nova variant Linux del ransomware Qilin (Agenda) xifra servidors VMware ESXi, FreeBSD i Linux, elimina snapshots i atura màquines virtuals per dificultar la recuperació.
Llegir més →Una fallada crítica (CVSS 9.8) a l'endpoint force-reset-password de SmarterMail permet segrestar el compte d'administrador del sistema. Més de 6.000 servidors van quedar exposats.
Llegir més →Una fallada de path traversal a l'editor d'arxius de Gogs permet l'execució de codi mitjançant enllaços simbòlics. CISA la va afegir al seu catàleg KEV després de confirmar l'explotació activa.
Llegir més →L'errata 012 d'OpenBSD 7.8 corregeix una desreferència de punter NULL i un esgotament de memòria a rpki-client provocables per una CA o un Trust Anchor RPKI maliciosos.
Llegir més →Al Patch Tuesday de gener de 2026, Microsoft va eliminar de Windows el driver de tercers Agere Soft Modem per una vulnerabilitat d'elevació de privilegis (CVE-2023-31096) explotada prèviament. Què és, a qui afecta i com actuar.
Llegir més →Microsoft va corregir CVE-2026-20805, una fallada de divulgació d'informació al DWM explotada com a zero-day que ajuda a derrotar ASLR. Afecta Windows 10, 11 i Server.
Llegir més →Microsoft corregeix un use-after-free a LSASS (CVSS 7.5) que permet executar codi a través de la xarxa. Afecta Windows 11 24H2/25H2 i Windows Server 2025.
Llegir més →RCE crítica (CVSS 8.4) a Microsoft Office explotable només previsualitzant un document maliciós. Qui afecta, quina gravetat té i com mitigar-la.
Llegir més →Dues vulnerabilitats crítiques d'execució remota de codi a Microsoft Excel corregides al Patch Tuesday de gener de 2026. Què són, a qui afecten i com protegir-se.
Llegir més →Microsoft va divulgar CVE-2026-21265, un bypass de Secure Boot causat per la caducitat dels seus certificats UEFI del 2011. Expliquem a qui afecta, la gravetat i com mitigar-lo.
Llegir més →El primer Patch Tuesday de 2026 soluciona 114 vulnerabilitats a Windows, Office i Azure, inclòs un zero-day explotat activament i dos divulgats públicament.
Llegir més →MongoBleed permet a atacants no autenticats llegir memòria del servidor MongoDB i robar credencials, claus i tokens. T'expliquem el defecte, a qui afecta i com mitigar-lo.
Llegir més →L'avís USN-7940-2 d'Ubuntu corregeix VMSCAPE, un error d'aïllament del predictor de salts al kernel Linux que podria exposar informació de l'amfitrió a un convidat maliciós. Què és, a qui afecta i com mitigar-lo.
Llegir més →Una aplicació insuficient de polítiques al component WebView de Chrome (CVSS 8.8) permet a extensions malicioses saltar-se les barreres de seguretat. Google ho va corregir a Chrome 143.
Llegir més →Un use-after-free a WebKit (CVSS 8.8) permet execució de codi en obrir una web maliciosa. Apple el va corregir i CISA va fixar el termini de remediació el 5 de gener de 2026.
Llegir més →Debian va publicar l'avís DSA-6092-1 per corregir dues vulnerabilitats a smb4k que poden derivar en denegació de servei o escalada de privilegis local. Què és, a qui afecta i com aplicar el pegat.
Llegir més →
