Se han descubierto tres vulnerabilidades que afectan a varios modelos de portátiles de Lenovo y que pueden poner en jaque la información de los usuarios. Dos de las vulnerabilidades que han sido descubiertas por ESET afectan directamente a los drivers de firmware para UEFI y suelen utilizarse durante el proceso de fabricación de estos dispositivos. La tercera vulnerabilidad llega bajo el nombre de CVE-2021-3970 y afecta a la lectura y escritura arbitraria desde y hacia SMRAM.

Investigadores demuestran como la seguridad de los sensores LIDAR es vulnerable a ataques simples a larga distancia.

Es similar a la vulnerabilidad crítica Dirty COW identificada en 2016 y se menciona que Dirty Pipe está al mismo nivel que Dirty COW en términos de peligro, pero que esta es mucho más fácil de operar.

Linux tiene otra vulnerabilidad de alta gravedad que facilita a los usuarios no confiables la ejecución de código capaz de llevar a cabo una serie de acciones maliciosas, como la instalación de puertas traseras, la creación de cuentas de usuario no autorizadas y la modificación de scripts o binarios utilizados por servicios o aplicaciones privilegiados. Dirty Pipe, como ha sido bautizada la vulnerabilidad, se encuentra entre las amenazas más graves de Linux que se han revelado desde 2016.

Agentes de la Policía Nacional han detenido en Mislata a un hombre de 52 años, por un delito contra los derechos de los trabajadores, tras emplear a personas para la construcción que carecían de permiso de trabajo y que en algunos casos se encontraban en situación irregular en España.

Según explican desde el Ejecutivo, "Unidas Podemos lleva semanas negociando con el PSOE para que se apruebe la extensión de ambas medidas, si bien no ha logrado que el socio de Gobierno acepte incluir también en el paquete la prórroga de los contratos de alquiler". De momento, la prohibición de cortes de suministros se extenderá hasta el 30 de junio. Así, en los próximos cuatro meses no podrá suspenderse el suministro de energía eléctrica, gas natural y aguas a los consumidores en situación de vulnerabilidad.

A mediados de la pasada década, Canonical (la compañía desarrolladora de Ubuntu Linux) puso en marcha su propia iniciativa para distribuir paquetes de software para Linux independientes de la distribución. Así, los paquetes Snap vinieron a sumarse a otros formatos 'universales', como Flatpak y AppImage.

Los familiares de los internos en residencias lamentan que se siga "sin obtener justicia" sobre las defunciones que se han producido en los centros de Catalunya durante la pandemia. "La justicia parece que mira hacia otro lado, posicionándose así del lado de los responsables y en frente de las víctimas, algo del todo intolerable", aseguran. Del mismo modo, reprochan "a la clase política" y en concreto, a JxCat, ERC y PSC que hayan "demostrado un comportamiento que parece que favorece la ocultación de la verdad de lo ocurrido"

Como os podéis imaginar, cada vez encontrar y reportar una vulnerabilidad es una competencia mayor por la calidad profesional de los Security Researchers, pero esto es algo por lo que la comunidad hacker llevaba muchos años reclamando. Que los investigadores fueran recompensados por hacer Responsible Disclosure de los bugs que ellos han descubiertos, que al final hacen que los usuarios estén más protegidos, y que las empresas tengan una mejor tecnología.

¿Qué significa ser vulnerable? ¿Por qué nuestra sociedad está tan empeñada en ser autosuficiente, independiente? ¿Es que acaso puede uno no ser vulnerable? Para Miquel Seguró (Argel, 1979) la respuesta es un no tajante. Para el filósofo, ser vulnerable es la condición que hace posible toda nuestra experiencia humana. Seguró no entiende la vulnerabilidad en su sentido doloroso (proveniente de vulnus, herida), sino como sinónimo del genérico «afectar» o, mejor, «ser afectado».

Un hacker consiguió robar más de 320 millones de dólares en Ethereum gracias a una vulnerabilidad del "puente" Wormhole, un protocolo que permite a los usuarios cambiar entre las criptomodivisas Ethereum y Solana. Era en la parte del puente de Solana donde estaba la vulnerabilidad, por lo que arrancamos 2022 con el robo más grande de criptomonedas en lo que va de año.

El fiscal solicita a un tercer investigado, ajeno a la mercantil, una multa por exigir 20.000 euros a una mujer por una compra de libros

Una de las funciones del Estado es ayudar a los vulnerables. De hecho, quizá sea su función principal. Para ello cobra impuestos que luego redistribuye, ya sea en forma de rentas (pensiones, por ejemplo) o en servicios (medicina y educación gratuitas, etc.). Sin embargo existen muchas ocasiones, en especial en España, donde el Estado no está ayudando realmente a los vulnerables. No tiene mecanismos, la capacidad o, en algunas ocasiones, la voluntad. Y en su lugar ponen normativas y deja que sean las manos privadas las que paguen el pato.

Se ofrecen premios de hasta 5.000 euros por encontrar vulnerabilidades de seguridad en LibreOffice, LEOS, Mastodon, Odoo y CryptPad, soluciones de código abierto utilizadas por los servicios públicos de toda la Unión Europea. Hay una bonificación del 20% por proporcionar una solución de código para los fallos que descubran.

La Junta de Castilla y León ha actualizado su sistema para notificar y cuantificar los positivos por covid, ya que ahora los autotest de farmacia servirán como referencia de nuevos contagios para la mayor parte de la población y solo las personas vulnerables y sus contactos estrechos y las personas que necesiten una baja laboral tendrán que realizarse una PCR de confirmación de la enfermedad.

Un ciberdelincuente logró explotar una vulnerabilidad de la cadena de bloques de la criptodivisa Polygon y robar 801.601 tokens por un valor de 2 millones de dólares. El problema ya fue resuelto, y el resto de las monedas en circulación no fueron apropiadas, informaron este miércoles los desarrolladores de Polygon en su sitio web. La vulnerabilidad crítica fue descubierta por primera vez por dos especialistas en seguridad voluntarios el 3 y el 4 de diciembre. Como recompensa por el trabajo, Polygon les pagó aproximadamente US$ 3,5 millones .

La seguridad de unos 800.000 sitios web que utilizan WordPress está en peligro. El popular complemento All in One SEO, que es empleado por más de 3 millones de sitios web para mejorar el posicionamiento en motores de búsqueda, presenta dos vulnerabilidades críticas. Las mismas han sido abordas en una actualización lanzada el pasado 7 de diciembre, pero los webmasters están tardando en aplicar este parche. El investigador de seguridad de Automattic, Marc Montpas descubrió los fallos de seguridad a principios de diciembre durante una auditoría..

Primero lanzaron la versión 2.15.0 para corregir las importantes vulnerabilidades que afectaban a esta librería. Posteriormente lanzaron 2.16.0 y, en este caso, la versión 2.17.0. Se trata de una vulnerabilidad de denegación de servicios (DoS) que debe ser corregida. Ha sido registrada como CVE-2021-45105. No obstante, hay que mencionar que ha sido calificada como de menor gravedad, aunque sigue siendo alta. Eso sí, igualmente es fundamental que los usuarios actualicen lo antes posible y eviten así problemas que pongan en riesgo sus dispositivo

De la grave vulnerabilidad Log4Shell (que afecta a la librería open source Log4J permitiendo ataques de ejecución de código remoto) hemos hablado ya en esta última semana: desde las condiciones en que trabajan los desarrolladores encargados de parchearla, hasta la presencia de la vulnerabilidad en uno de los vehículos de la NASA que está explorando ahora mismo marte.

Sólo cuatro días después de aquel vuelo, mientras la NASA aún permanecía a oscuras sobre lo ocurrido, saltó la noticia del descubrimiento de Log4Shell, una vulnerabilidad crítica que afecta a Log4J, una librería desarrollada por Apache que constituye un componente básico de miles de proyectos web, servicios online y dispositivos conectados. La coincidencia en el tiempo de ambos hechos fue una mera casualidad, claro, pero pensar lo contrario no habría sido totalmente injustificado… habida cuenta de que Ingenuity lleva instalado Apache Log4...

Después de que los mantenedores de log4j lanzaran la versión 2.15.0 para abordar la vulnerabilidad de Log4Shell, se identificó un vector de ataque adicional y se informó en CVE-2021-45046. [..]Es posible que siga siendo vulnerable a Log4Shell (RCE) si solo habilitó el indicador noMsgFormatLookups o estableció %m{nolookups} cuando también estableció datos en ThreadContext con datos controlados por el atacante. En este caso, debe actualizar a 2.16.0 o de lo contrario seguirá siendo vulnerable a RCE.