El equipo del proyecto OpenSSL avisa en su lista de correo de una vulnerabilidad crítica en las versiones 3.X para la que publicará actualización a 3.0.7 el 1 de noviembre. En la página de SANS hay mas información sobre las versiones de los sistemas operativos afectados. isc.sans.edu/forums/diary/Upcoming+Critical+OpenSSL+Vulnerability+What

Un total de cuatro fallos de seguridad críticos en la versión para ordenadores PC y Mac de la aplicación de mensajería WhatsApp expusieron los dispositivos de los usuarios, a los que un atacante podía acceder a través del envío de un mensaje malicioso. Las vulnerabilidades, que han sido descubiertas por los investigadores de la compañía de ciberseguridad Perimeter X, se basan en el cross-site scripting, un agujero de seguridad que permite a un tercero inyectar código Javascript o similar en una aplicación web.

Un nuevo fallo de seguridad crítico afecta al popular reproductor multimedia VLC, con una puntuación alta, la vulnerabilidad ha sido categorizada como crítica, y aunque se está trabajando en una solución de momento no hay parches disponibles.

Una vulnerabilidad crítica de tipo bypass de autenticación en libssh, una librería que implementa el protocolo de autenticación de SHH, permite el acceso en remoto sin credenciales en la consola, incluso llegando al compromiso completo de los servidores afectados. Las versiones afectadas de libssh llegan hasta la 0.6.0, publicada hace más de 4 años.

Como el fallo reside en tu CPU, afecta a cualquier sistema operativo, aunque aparentemente versiones modernas de Windows y Linux son la excepción. La buena noticias aquí es que a diferencia de Meltdown y Spectre, esta vulnerabilidad no reside en el hardware, así que puede se solucionada enviando parches a los diferentes sistemas operativos. Según Intel, dado que Lazy FP State Restore es similar a la variante 3A de Spectre, muchos sistemas operativos ya la han solucionado. Las versiones de Linux con el kernel 4.9 en adelante no están afectadas.

Una nueva vulnerabilidad afecta al gestor de contenidos Drupal, permitiendo que un atacante ejecute código arbitrario en el sistema de destinación. Esta está relacionada con la vulnerabilidad publicada el pasado mes de marzo. El impacto es crítico porque afecta el núcleo de Drupal de las versiones 7.x y 8.x. Además, el equipo de seguridad de la empresa ha constatado ataques para explotar esta vulnerabilidad, cinco horas después de liberar el parche.

Esta nueva vulnerabilidad afecta a las versiones de Windows 7, 8, 10, Server 2008 y Server 2012, y permitie al atacante tomar control total de la máquina sin que el usuario lo perciba. Aún no existe actualización de seguridad que lo solucione.

La firma Exodus Intelligence ha informado de una vulnerabilidad crítica en el sistema operativo Tails.

Parece ser que se ha descubierto una vulnerabilidad crítica en el núcleo del sistema operativo libreNo es muy común hablar de vulnerabilidades críticas en el kernel Linux ya que no es habitual, por eso cuando sucede tiene tanta repercusión en la red. Parece ser que se ha descubierto una vulnerabilidad crítica en el núcleo del sistema operativo libre que cualquier atacante que sepa explotarla de forma correcta puede llegar a hacerse root o generar un kernel panic a través de un ataque DoS.

Expertos de la firma de seguridad Secunia han localizado una vulnerabilidad en la versión de Windows 7 de 64-bit, que permite inyectar y ejecutar código malicioso en los equipos a través de Safari. Por fortuna para los usuarios, las consecuencias del “exploit” no son tan graves como en otras incidencias, ya que no habría robo de datos y simplemente el sistema operativo se quedaría colgado con la tradicional “pantalla azul de la muerte”.

Se ha detectado un fallo crítico en Windows Phone 7.5 que permite a los atacantes desactivar un dispositivo mediante la realización de un ataque de denegación de servicio (DoS) a través de SMS. Por ahora, no hay solución del problema. El ataque, que es independiente del dispositivo, funciona enviando un SMS a un usuario de Windows Phone. El dispositivo se reinicia y el centro de mensajería deja de funcionar. también se es vulnerable si un usuario envía un mensaje a través de chat de Facebook o Windows Live Messenger.

Los de Adobe acaban de reconocer una vulnerabilidad crítica en su programa Adobe Reader y en la familia Adobe Acrobat, que compromete gravemente la seguridad de los ordenadores en donde están instalados. En concreto afecta a las versiones para Windows y Mac de Adobe Reader X 10.1.1 y anteriores, pero también a las de UNIX desde la versión 9.4.6 hacia atrás. De igual manera afecta a los ordenadores Windows y Mac que lleven instalado Acrobat X 10.1.1 y anteriores o Acrobat 9.4.6 y anteriores.

Los creadores del formato PDF reportaron el “descubrimiento” de otra “vulnerabilidad crítica” en la actual y también en las viejas versiones de Adobe Reader y Acrobat para Windows, Unix y Mac OS X. Esta vez, no se salva nadie.

Una nueva vulnerabilidad 0-Day que afecta a todas las versiones de Windows fue descubierta por un investigador de seguridad de la compañía Prevx. La vulnerabilidad se encuentra presente en el archivo win32k.sys que forma parte del kernel de Windows. Los atacantes que se aprovechen de esta vulnerabilidad pueden redirigir devoluciones de direcciones de memoria hacia código malicioso, el que se ejecutará en la máquina con privilegios kernel mode.

Según el INTENCO la nueva falla afecta a las versiones 3.5 y 3.6 de Firefox y puede ser aprovechada para infectar el equipo de cualquier usuario con tan solo visitar una página web maliciosa (o “alguna normal” que haya sido comprometida por algún delincuente para infectar desde ella). Ya se ha detectado también alguna web que explota la vulnerabilidad —la del Premio Nobel y, aunque esta en estos momentos es bloqueada por la protección contra código malicioso de Firefox, seguramente haya más— y un virus que la utiliza.

[c&p] El popular servicio de microblogging recientemente añadió la característica added rel=nofollow en los enlaces producidos por su API, y esa característica puede ser aprovechada para un ataque muy peligroso. Un usuario de esta red ha descubierto que al cambiar el enlace en la configuración de la aplicación, ese cambio afecta a todos los tweets de nuestro historial que han sido generados por la aplicación modificada.Eso hace que sea posible aplicar un ataque Cross-Site Scripting que enlace a sitios que no deberían poder enlazarse. [...]

[C&P] Cierta combinación escrita en un tablón de cualquier usuario, podría conseguir que se inutilizara, y que ni él ni nadie pudiera leer ni responder comentarios. El riesgo empezaba a ser interesante aunque no comprometedor, pues lo máximo que podría ocurrir es que el usuario contactara con soporte, ellos lo detectaran y le pusieran arreglo. Pero no, no es lo peor en realidad. Eso sólo significaría la punta del iceberg. Teniendo en cuenta que el XSS es aplicable en cualquier lugar esto funcionaría como un gusano. +info en comentarios

El impacto de las vulnerabilidades críticas es hasta un 92% menor cuando no se utiliza la cuenta de administrador de Windows. Si los usuarios y las organizaciones utilizan en cuentas con menores privilegios administrativos para el uso habitual del ordenador, y sólo recurriesen a la cuenta de administrador cuando de verdad fuese necesario, el impacto de todas las vulnerabilidades descendería en un 69% –cifra que se eleva hasta el 92% en el caso de las más críticas-.

[c&p]Microsoft ha distribuido un parche de seguridad es miércoles para todas las versiones de IE. El parche es considerado crítico........ más de 2 millones de ordenadores ya han sido infectados.

Una vulnerabilidad descrita como "crítica" ha sido descubierta en versiones de µtorrent y del cliente oficial de BitTorrent. La vulnerabilidad de "desbordamiento de buffer" ("buffer overflow") puede ser aprovechada para la ejecución de código arbitrario. Se recomienda a todos los usuarios que actualicen µtorrent a la versión 1.8 RC7 o superior.

Microsoft ya prepara los parches para las vulnerabilidades críticas que afectan a sus sistemas operativos cliente y servidor Windows, así como a los componentes que traen por defecto esas plataformas. La compañía de Redmond está preparan no menos de 7 boletines de seguridad para un número indeterminado de vulnerabilidades que afectan incluso a Windows Vista y Windows XP, actualizado con el Service Pack 1 y, respectivamente, Service Pack 3.

Sólo unas horas después del lanzamiento del Firefox 2.0.0.12, se ha encontrado una vulnerabilidad crítica. Se recomienda usar Noscript.

C&P La última versión 3.6 de Skype corrige una vulnerabilidad crítica que puede llevar al compromiso total de una máquina Windows, y una vez más parece que lo hace en riguroso secreto, por cuanto su sección de avisos de seguridad no muestra información alguna al respecto. Se trata de una variante del famoso bug en el manejo de URIs en Windows, que tantos quebraderos de cabeza viene produciendo. No se sabe si la vulnerabilidad ha sido de hecho introducida con el parche para ese problema que Skype presentó a finales del pasado mes de septiembre.

Desde hispasec nos cuentan que ya hay sitios web que explotan la última vulnerabilidad aparecida para el Internet Explorer."A efectos prácticos, un atacante puede diseñar una web que explote la vulnerabilidad para ejecutar código arbitrario con los mismos privilegios del usuario local que
visite la página."

Los arrestados compartían identidades como "GUARDIACIVILX" y además atacaron la Red SARA, el eje de la administración digital. Uno de los arrestados es un chaval que tiene 18 años recién cumplidos, mientras que su cómplice tiene torno a 27. Uno de los dos estudiaba Formación Profesional en un instituto, e incluso utilizaba ordenadores del centro educativo para sus hackeos.

Matrix 4 es mala a propósito. El texto es demasiado corto, debe ser al menos de 50 caracteres

Vaya. El PP mete de suplente en el CGPJ a García-Panasco, el fiscal que promovió la investigación contra mí en campaña electoral, vulnerando mis derechos, según sentencia del TS, e hizo un comunicado que favoreció al ex ministro corrupto Jose Manuel Soria.

A la presidenta de Madrid le han llovido críticas por todas partes. Y es que implicar a Catalunya, País Vasco y Navarra en la misma frase no iba a quedar impune. "Navarra fue un reino independiente hasta 1512. Debe estudiar un poco de historia", recordaba un usuario. "La necesidad de negar el resto de naciones ya es indicativo de su existencia", planteaba otro. "Osada como solo lo puede ser una ignorante que habla para ignorantes osados", expresaba un tercer usuario. Y, como estos, decenas de comentarios similares.

Porque nos hemos equivocado de enemigo, y así no hay forma de ganar una guerra.

Vietnam ve a Rusia como una protección estratégica contra las grandes potencias. El apoyo ruso a Vietnam abarca desde energía hasta armas. "Ningún país debería dar a Putin una plataforma para promover su guerra de agresión y permitirle normalizar sus atrocidades", manifestó un portavoz de la embajada estadounidense en Hanói al ser preguntado por el impacto de la visita del mandatario ruso en cuanto a los lazos de Vietnam con Estados Unidos. "Si puede viajar libremente, podría normalizar las flagrantes violaciones del derecho internacional...

Tamara Gorro habla con su yayo fallecido", rotulaba 'Y ahora, Sonsoles'

La sentencia vulnera sus derechos fundamentales, porque aplica una "incompatibilidad con carácter preventivo", ya que todavía no se ha dado el supuesto por el que debido al ejercicio profesional de su pareja, deba inhibirse de tomar alguna decisión de su cargo. Por ello, a juicio de la magistrada, el tribunal conculca el derecho constitucional de Delgado a acceder en condiciones de igualdad a un cargo público, recogido por el artículo 23.2 de la Carta Magna.

Depresión, alcoholismo, epilepsia y drogadicción son las patologías más frecuentes. El problema más grave es que este tipo de enfermos son vistos como una desgracia en sus propias familias, «como alguien peligroso». «Para la gente -familiares, amigos, etcétera- este tipo de enfermedad es considerada como algo misterioso y creen que esas personas están poseídas por un mal espíritu. En definitiva, piensan que traen mala suerte a la familia y se les echa de casa», explica la hermana.

El vídeo, que repasa la trayectoria de la candidata de Podemos a las europeas, describe las bondades de los dos centros educativos. El último vídeo de campaña de Podemos sobre Irene Montero ha generado polémica en un sector de la izquierda, que critica la exaltación que el partido hace de los centros educativos en los que estudió la exministra y candidata a las elecciones europeas, por tratarse de dos colegios concertados, y no públicos.

Un grupo de investigadores ha publicado información sobre el ataque conocido como Unsaflok, que explota una serie de vulnerabilidades en las cerraduras de hotel Saflok de la empresa dormakaba. El ataque Unsaflok permite la creación de tarjetas de acceso falsificadas para las cerraduras electrónicas Saflok, ampliamente utilizadas en hoteles de todo el mundo. Todo lo que un atacante necesita es una tarjeta RFID del hotel objetivo donde estas cerraduras están instaladas.