Hace poco se dio a conocer la noticia de que han identificado dos vulnerabilidades (ya catalogadas bajo CVE-2023-1017, CVE-2023-1018) en el código con la implementación de referencia de la especificación TPM 2.0 (Trusted Platform Module).

Cada vez hay más iniciativas que pagan por detectar vulnerabilidades informáticas. Muchos hackers ya se ganan la vida con ellas. La comunidad de 'hackers' españoles que participan en los programas 'big bounty' crece y ya hay varias personas que se dedican exclusivamente a ello. En esos programas, los 'hackers' buscan vulnerabilidades de las empresas participantes y son recompensados en función de sus hallazgos.

He de aclarar que, pese a que el proceso es completamente abierto y funcional, no sirve para robarle las llaves a otra persona: los modelos utilizados son muy antiguos, actualmente no hay apenas puertas que utilicen esos modelos tan vulnerables (o no debería, este tipo de cerraduras no ofrecen excesiva seguridad). Además, entraña una medición que necesita un proceso de varios minutos, no basta con hacerle sólo una foto a la llave. Aun así, debo dejar claro que realizar la copia de una llave sin autorización es un delito.

AMD no ha arrancado 2023 con muy bien pie, y es que a los problemas de las Radeon RX 7900 XTX, ahora se le suman problemas de vulnerabilidad en sus CPU Ryzen y EPIC. Fue la propia compañía la que anunció que muchos de sus procesadores se han visto comprometidos por medio de 31 nuevas vulnerabilidades.

Informamos de varias vulnerabilidades criptográficas explotables en la práctica en el cifrado de extremo a extremo en Matrix y describimos pruebas de concepto que explotan estas vulnerabilidades. Al basarse en comportamientos específicos de la implementación, estos ataques se dirigen al estándar Matrix tal y como se implementa en las bibliotecas matrix-react-sdk y matrix-js-sdk. Estas bibliotecas proporcionan la base para el cliente insignia Element.

El equipo del proyecto OpenSSL avisa en su lista de correo de una vulnerabilidad crítica en las versiones 3.X para la que publicará actualización a 3.0.7 el 1 de noviembre. En la página de SANS hay mas información sobre las versiones de los sistemas operativos afectados. isc.sans.edu/forums/diary/Upcoming+Critical+OpenSSL+Vulnerability+What

Un grupo de investigadores ha advertido sobre una potencial vulnerabilidad en aplicaciones de mensajería populares como WhatsApp o Signal que han identificado en la notificación de estado del envío, ya que un mal uso de ella puede ayudar a determinar la ubicación del usuario.

El nivel de seguridad que proporcionan los SMS palidece en comparación con los autentificadores o las claves de seguridad físicas, afirma Jesse Leclere, de CertiK, en una entrevista.

El método usado para explotar la vulnerabilidad tiene el nombre de «utilización del planificador de colas a través del muestreo» (SQUIP). Las arquitecturas afectadas son las Zen+, Zen 2 y Zen 3, aparentemente salvándose los Ryzen 1000, la arquitectura Zen original. Curiosamente la implementación del planificador de hilos de AMD es similar a la de Apple pero esta no está afectada ya que sus núcleos no disponen de multihilo, y en el caso de que así fuera sí que se habría visto afectada.

Los métodos que los ladrones utilizan para robar coches han ido evolucionando con el paso del tiempo. Ya hemos visto como alguien se llevaba un Jeep Wrangler que no era suyo utilizando un portátil. Ahora, un investigador de seguridad ha demostrado que se puede abrir y arrancar un Tesla Model 3 utilizando un smartphone con una aplicación específica que explota una vulnerabilidad en la tecnología Bluetooth Low Energy (BLE). Este problema de seguridad está presente desde hace menos de un año. De hecho, su raíz está en una actualización que el ...

Un nuevo error sin parche podría permitir a los atacantes robar dinero de los usuarios de PayPal que permitiría a los atacantes engañar a las victimas para que completen transaciones dirigidas por el ataccante sin ellos saberlo.

CNN-CERT publica un sobre 2 vulnerabilidades calificadas por el Mozilla como de severidad crítica. CVE-2022-1802 y CVE-2022-1529

Se han descubierto tres vulnerabilidades que afectan a varios modelos de portátiles de Lenovo y que pueden poner en jaque la información de los usuarios. Dos de las vulnerabilidades que han sido descubiertas por ESET afectan directamente a los drivers de firmware para UEFI y suelen utilizarse durante el proceso de fabricación de estos dispositivos. La tercera vulnerabilidad llega bajo el nombre de CVE-2021-3970 y afecta a la lectura y escritura arbitraria desde y hacia SMRAM.