"Quiero compartir mi experiencia frustrante al participar en el programa Apple Security Bounty. He informado de cuatro vulnerabilidades de día 0 este año entre el 10 de marzo y el 4 de mayo, a partir de ahora tres de ellas todavía están presentes en la última versión de iOS (15.0) y una se corrigió en la 14.7, pero Apple decidió encubrirla y no lo incluya en la página de contenido de seguridad . " Cita del autor del texto.

Un experto en seguridad ruso apodado illusionofchaos ha hecho públicas cuatro vunerabilidades graves en iOS, tres de las cuales no han sido parcheadas aún, después de que Apple supuestamente ignorara sus mensajes durante medio año. Según su propia narración de los hechos, Apple corrigió una de estas vulnerabilidades con iOS 14.7. Las otras tres siguen presentes en iOS 15, como confirmó en Twitter Kosta Eleftheriou. Estas vulnerabilidades permiten explotar el Game Center de iOS para extraer datos personales críticos del usuario.

El Centro Criptológico Nacional informa en su web de una vulnerabilidad crítica en Microsoft Office para la que aún no hay solución y publica modos de mitigación temporal.

Un equipo de investigadores en ciberseguridad ha publicado esta semana detalles sobre un conjunto de 16 vulnerabilidades que afectan a la pila de software de Bluetooth que se incluye en SoC de varios proveedores importantes. Las vulnerabilidades, las cuales se han llamado BrakTooth, permiten a los atacantes bloquear y congelar los dispositivos o, en el peor de los casos, ejecutar código malicioso y tomar el control de sistemas enteros. Se cree que el número de dispositivos afectados es de miles de millones...

Microsoft no puede cambiar esas claves, el jueves envió un correo electrónico a los clientes diciéndoles que crearan otras nuevas.

Los sistemas de control industrial se lo están poniendo demasiado fácil a los ciberdelincuentes. Eso es, al menos, lo que concluye el informe sobre seguridad informática del sector de la empresa estadounidense Claroty, en el que se señala que el 90% de las vulnerabilidades detectadas en lo que va de año en estos instrumentos son de baja complejidad, es decir, que no requieren de condiciones especiales para provocar una brecha y son fácilmente repetibles.

Un grupo de investigadores alemanes ha descubierto varios fallos de seguridad en dispositivos WiFi, que van desde un router a una bombilla inteligente, pasando también por cámaras de seguridad o incluso juguetes infantiles.

¿Qué haríais si descubrís una vulnerabilidad en un software que es parte fundamental de millones de coches (o motos) y dispositivos santiario? En BlackBerry no dijeron ni pío: sabían que su sistema operativo en tiempo real, QNX, podía estar afectado, pero prefirieron negar cualquier problema. Meses después las presiones de organismos gubernamentales han hecho que la empresa admita que efectivamente QNX está afectado. La vulnerabilidad permite a un atacante ejecutar código arbitrario en los dispositivos afectados para inutilizarlos.

Podemos encontrar casi cualquier cosa en Internet: sólo hace falta recurrir a un buscador y tendremos en unos segundos esa noticia, receta o artículo de enciclopedia que queríamos consultar.

Boffins en Finlandia han escaneado las bibliotecas de software de código abierto en el índice de paquetes de Python, más conocido como PyPI, en busca de problemas de seguridad y encontraron que casi la mitad contienen código potencialmente vulnerable. En un artículo de investigación distribuido a través de ArXiv, Jukka Ruohonen, Kalle Hjerppe y Kalle Rindell de la Universidad de Turku describen cómo sometieron unos 197.000 paquetes de Python disponibles a través de PyPI a una herramienta de análisis estático llamada Bandit.

En este vídeo informativo Google explica cómo consigue que el algoritmo que proporciona los resultados de las búsquedas reaccione cuando se produce algún evento en momentos críticos, generalmente porque hay una emergencia o suceso grave o llamativo del que todo el mundo busca información. En ese caso los resultados «normales» se modifican para adaptarse un poco a la información más relevante que pueda servir de ayuda. [ Vía Microsiervos ].

Hace unos días, un grupo de criptógrafos internacionales descubrieron cuatro vulnerabilidades asociadas al protocolo de cifrado de una de las aplicaciones de mensajería instantánea más populares del mundo, Telegram. Según el profesor Kenneth G. Paterson, uno de los investigadores autores de este descubrimiento, ha diferenciado el grado de dificultad desde triviales hasta errores tremendamente complejos de producir o meramente de carácter teórico. Además, ha comunicado que estas cuatro vulnerabilidades podrían haberse evitado.

Western Digital ha publicado una actualización que dice que la compañía proporcionará servicios de recuperación de datos a partir del próximo mes. Los clientes de My Book Live también serán elegibles para un programa de intercambio para que puedan actualizarse a dispositivos My Cloud. Una portavoz dijo que el servicio de recuperación de datos será gratuito. La compañía también proporcionó nuevos detalles técnicos sobre el día cero, que ahora se rastrea como CVE-2021-35941.

La ciberseguridad es una necesidad real para todas las organizaciones del mundo contemporáneo, independientemente de su tamaño y localización. Tal vez esta idea pueda parecer compleja o incluso que no nos afecta, es más simple y cercano de lo que pueda parecer. En un escenario digitalizado, con un mundo intercomunicado, en constante movimiento, la seguridad virtual es tan importante como la seguridad real en nuestras.

Arrancamos el día conociendo que los procesadores AMD EPYC han sido afectados por dos nuevas vulnerabilidades. Fue la propia AMD la que reveló que tenía conocimiento de dos vulnerabilidades tras la publicación de unos trabajos de investigación relacionados con la virtualización cifrada segura (SEV). Aunque no conocemos los detalles exactos de estas vulnerabilidades hasta que se presenten los pertinentes documentos, sabemos esto afecta a toda la familia de CPUs AMD EPYC (1ª Gen, 2ª Gen y 3ª Gen).

“También delimita la responsabilidad de las plataformas que alojan contenidos. Estas plataformas no tienen la obligación de controlar los contenidos que suben sus usuarios, salvo cuando tienen conocimiento de que una opinión o una información es manifiestamente ilícita”, indica. “En esta sentencia se indica que hay que hacer una ponderación de derechos en un conflicto existente entre el derecho al honor de las sociedades demandantes y la libertad de expresión de los demandados”, apunta.

Miles de programas están en peligro debido a una vulnerabilidad crítica en la validación de direcciones IP de Python

Una campaña masiva del ransomware Qlocker, el cual afecta a los dispositivos QNAP, hace que el contenido de los usuarios termine cifrado en archivos 7zip. Ha sido detectado recientemente y actúa de forma similar a como lo hace cualquier amenaza de este tipo. En inglés y más extensa: www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-atta

Ayer fue el Patch Tuesday, el segundo martes de cada mes en el que Microsoft lanza los parches de seguridad para Windows 10. Este mes no ha habido récord de vulnerabilidades parcheadas como en otros meses, pero sí ha habido una participación curiosa, donde la NSA ha comunicado el descubrimiento de 4 vulnerabilidades de día cero. De ellas, dos vulnerabilidades permiten a un atacante acceder a un servidor de Microsoft Exchange sin ni siquiera tener que loguearse, no siendo de extrañar que le hayan asignado un 9,8 sobre 10 de gravedad a una de ell

Este fallo está relacionado con el método que utiliza WhatsApp a la hora de verificar nuevos registros de teléfonos. Y es que cuando registras de forma original tu número de teléfono en WhatsApp, se te enviará directamente un código SMS para verificar la cuenta. Hasta aquí todo normal, pero se puede explotar este acontecimiento de manera fraudulenta para bloquear definitivamente la cuenta objetivo.

Los investigadores de seguridad han identificado nuevas vulnerabilidades en el protocolo 5G que podrían abusarse para bloquear segmentos de la red y extraer datos del usuario, como información de ubicación. Las nuevas vulnerabilidades fueron descubiertas a fines del año pasado por AdaptiveMobile, una firma de ciberseguridad especializada en seguridad de redes móviles.