Titulares

Noticias

xx Vulnerabilidad de path transversal en Cisco ASA, parchea ya!!!

El 6 de junio se hizo pública la vulnerabilidad CVE-2018-0296 que afecta a la interfaz web de los Cisco ASA (Adaptive Security Appliance) y aunque el fabricante lo describe como una vulnerabilidad que "podría permitir a un atacante remoto no autenticado provocar que el dispositivo se reinicie (DoS) y, en ciertas versiones de software, ver información sensible del sistema sin autenticación mediante el uso de técnicas de path traversal", lo realmente importante es ésto último, la falta de de validación de entrada y control de acceso a algunas URLs:
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=%2bCSCOE%2b"
"/+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/"
"/+CSCOE+/logon.html"
...
Sin embargo los polacos de Sekurak lo explican perfectamente en su artículo: "Error description CVE-2018-0296 - bypassing authentication in the Cisco ASA web interface":

ASA organiza sus recursos en dos directorios: /+CSCOU+/ y /+CSCOE+/ . Las subpáginas dentro de /+CSCOE+/ pueden requerir autenticación, mientras que las ubicadas en el medio /+CSCOU+/ autenticación nunca la requieren.

Como se muestra a continuación, si se intenta acceder a cualquier recurso /+CSCOE+/files/file_list.json de manera estándar se nos redireccionará a la página de logon:



Pero si se reemplaza en la petición /+CSCOE+/ por /+CSCOU+/ el resultado es sorprendente:

[img]https://4.bp.blogspot.com/-vjywodGSmxg/WyzZqHRw5nI/A...

Leer más
Noticia publicada 23 Junio 2018, 22:46 pm por r32
xx El futuro de los equipos Windows 10 con ARM pasaría por el futuro procesador ...

Microsoft no para de crecer y evolucionar para así adaptarse al mercado actual, ya que en varios sentidos esta es una firma que se encarga de marcar tendencia en algunos sectores tecnológicos, especialmente gracias al que se podría considerar como su producto estrella, Windows 10.

Es por ello que la firma con sede en Redmond en estos momentos está embarcada en un ambicioso proyecto al que poco a poco está dando forma, hablamos de los equipos ARM basados en el mencionado sistema, Windows 10. Cierto es que ya se han podido ver en el mercado estos primeros ordenadores denominados como “Always Connected PCs”, aunque también hay que admitir que de momento su aceptación ha sido muy limitada, por lo que han recibido más críticas que cualquier otra cosa.

LEER MAS: https://www.adslzone.net/2018/06/23/windows-arm-qualcomm-snapdragon-1000/

Leer más
Noticia publicada 23 Junio 2018, 14:57 pm por wolfbcn
xx Aplicación fraudulenta en Google Play activa, 24 horas después de ser reportada

Investigadores de seguridad de la empresa RiskIQ descubrieron un malware “ad-clicker” en Google Play en el día de ayer que aún hoy no ha sido retirado.

El malware con más de 50.000 instalaciones combina su función legítima de optimizador de batería con funciones agresivas de adware. En el estudio publicado por la empresa RiskIQ se puede observar como ante los avisos de publicidad que nos muestra la aplicación pulsemos donde pulsemos nos redirige al mismo sitio.

 El malware también roba información confidencial del usuario tales como: (hora, android_id, producto, modelo, marca, país y versión).

En una búsqueda en Koodous aparecen 4 variantes del mismo, correspondientes a 4 versiones distintas de la aplicación. Es especialmente llamativo como la última de ellas integra el permiso de android.permission.RECEIVE_SMS, que puede ser utilizado para la recepción de mensajes premiums.

LEER MAS: https://unaaldia.hispasec.com/2018/06/aplicacion-fraudulenta-en-google-play.html

Leer más
Noticia publicada 23 Junio 2018, 14:55 pm por wolfbcn
xx Hombre muere luego de que su móvil explotara e incendiara su habitación

¿Se imaginan estar durmiendo y que tu móvil simplemente explotara al estar cargándose? Bueno, eso le pasó a Nazrin Hassan.

De acuerdo a informaciones de diversos medios internacionales, el CEO de Cradle Fund, una empresa dedicada a apoyar emprendimientos en sus primeras etapas de desarrollo, murió por esta causa.

Mientras dormía, dejó cargando sus dos móviles, un Huawei y un BlackBerry, y dado el gran incendio posterior se desconoce cuál de los dos fue el causante y no existe claridad sobre los modelos que utilizaba.

Tristemente no fueron las llamas, sino que la explosión causada lo dejó incapacitado para escapar, muriendo trágicamente de asfixia para luego ser devorado por las llamas.

LEER MAS: https://www.fayerwayer.com/2018/06/hombre-muere-explosion-movil/

Leer más
Noticia publicada 23 Junio 2018, 01:50 am por wolfbcn
xx Apple reconoce problema con los teclados de algunos MacBook y ofrece ....

De un tiempo hasta ahora, en redes sociales se han hecho notar algunos dueños de los nuevos MacBook de Apple, porque tienen problemas en el teclado, específicamente con el tipo "Butterfly", versión uno y dos, donde algunas teclas no funcionan o se quedan pegadas.

Lo anterior no sería un problema mayor si no fuera porque es muy complejo de arreglar y a veces para hacer cumplir la garantía, se debe reemplazar el computador completo.

LEER MAS: https://www.fayerwayer.com/2018/06/apple-reconoce-teclados-macbook/

Leer más
Noticia publicada 23 Junio 2018, 01:48 am por wolfbcn
xx La gente no sabe bien qué es YouTube Music y a cambio están poniéndole reseñas..

YouTube Music y YouTube Premium llegaron a España esta semana, los servicios están ampliamente mezclados, pues YouTube Premium es lo mismo que Music, pero además elimina los anuncios de la plataforma de vídeos. Tanto esto como otras cosas han generado bastante confusión y como consecuencia, muchos usuarios molestos.

Las opiniones negativas en la app store española tienen a YouTube Music con una calificación de 1.8 estrellas apenas, una de las peores calificaciones entre todas las apps de Google disponibles. Y en la Play Store abundan las reseñas de una estrella de usuarios que básicamente odiaron la app.

En Genbeta ya probamos y analizamos YouTube Premium y nos preguntamos sí valía la pena pagar por algo así, especialmente si ya pagabas por otro servicio como Spotify. Cómo explicamos antes, a YouTube Music le falta, no es un servicio maduro y con la misma cantidad de opciones y ventajas de Spotify o el mismo Apple Music, pero curiosamente las reseñas negativas de los usuarios tienen que ver más con otras cosas que con esto.

LEER MAS: https://www.genbeta.com/actualidad/gente-no-sabe-bien-que-youtube-music-cambio-estan-poniendole-resenas-negativas

Leer más
Noticia publicada 23 Junio 2018, 01:47 am por wolfbcn
xx Estos juegos de Steam están espiando lo que haces en Internet

Hace unas horas se ha descubierto un spyware que responde al nombre de Red Shell y está diseñado para extraer datos de los usuarios para utilizarlos en campañas de marketing. Todavía es pronto para hablar de consecuencias o saber dónde va la información obtenida, pero sí sabemos que hay más de 50 títulos afectados.

Por la información revelada en este hilo de Reddit, el spyware proporciona información a los desarrolladores de los juegos, indicando cómo responden sus usuarios a las campañas de marketing, si ven sus vídeos de YouTube o si acaban comprando un título por la publicidad que sirven en Twitter, Facebook o alguna página web.

LEER MAS: https://www.muycomputer.com/2018/06/22/estos-juegos-de-steam-estan-espiando-lo-que-haces-en-internet/

Leer más
Noticia publicada 23 Junio 2018, 01:46 am por wolfbcn
xx Probamos eG-Social: un testigo online para certificar capturas y denunciar el...

Acreditar automáticamente el contenido de los mensajes en redes sociales para que sirvan como prueba judicial. Eso es lo que nos ofrece eG-Social, el nuevo servicio de la empresa eGarante que lleva años ofreciendo métodos para conseguir validez legal en documentos con un sistema que asegura que es original y no ha sido editado.

Como este tipo de herramientas se antojan útiles en unos tiempos en los que el ciberacoso en redes sociales copa cada vez más titulares, hemos estado probando esta función para ver cómo funciona y qué tipo de documentos te envía. Y aquí tienes las que han sido nuestras primeras impresiones después de unos días de prueba.

Los servicios que ofrece eGarante son de pago, y para poder utilizar eG-Social vas a necesitar tener contratado como mínimo el plan eGarante 150 con valor de 89,90 euros. El 150 se refiere a que con esta cuenta puedes recibir 150 certificaciones, por lo que cada una que configures irá restándote una certificación al día.

LEER MAS: https://www.xataka.com/servicios/probamos-eg-social-testigo-online-para-certificar-capturas-denunciar-acoso-redes-sociales?utm_source=genbeta&utm_medium=network&utm_campaign=repost

Leer más
Noticia publicada 23 Junio 2018, 01:44 am por wolfbcn
xx Diablo está siendo reconstruido para soportar los sistemas operativos modernos

Si algo tienen los juegos de Blizzard es que aguantan muy bien el paso del tiempo. De esto esto tenemos varios ejemplos, como la versión remasterizada de Starcraft, una gran actualización para Warcraft III en 2018 y la potente comunidad tras Diablo II, que incluso en los tiempos actuales sigue desarrollando mods interesantes.

Sin embargo, no todos los títulos de Blizzard reciben la misma atención, ya que por ejemplo el Diablo original, que apareció en 1996, no está recibiendo ni por asomo la atención de su secuela en la actualidad. Culpa de ello posiblemente la tenga unas ventas mucho menores. Mientras que la primera entrega consiguió vender 2,5 millones de copias hasta 2001, la segunda ha alcanzado el impresionante número de 17,5 millones de copias.

Pese a todo, el Diablo original tiene sus seguidores, y un programador que se hace llamar GalaXyHaXz ha publicado una reconstrucción del código fuente de dicho título, al que ha decidido llamar Devilution. La intención principal es que el juego pueda ser ejecutado en sistemas operativo modernos, y aquí no solo hablamos de la posibilidad de Windows 10, sino también Linux.

Para poder desarrollar esta versión de Diablo, GalaXyHaXz ha explicado en su cuenta de GitHub que Blizzard suministró en el pasado el código fuente a dos desarrolladoras: Synergestic Software para crear una expansión y Climax Studios para crear el port a PlayStation. Al parecer Sony fue un poco torpe a la hora de guardar bien ciertas cosas, lo que permitió que la puesta a disposición de forma involuntaria en la versión japonesa del diseño de todo el juego, con funciones, datos, tipos y más. Incluso una versión beta acabó...

Leer más
Noticia publicada 23 Junio 2018, 01:41 am por wolfbcn
xx Twitter compra empresa de seguridad para erradicar a los trolls

La pregunta es: ¿se podrá erradicar alguna vez a los trolls?

En Twitter están decididos a acabar con los trolls y mejorar el ecosistema Twitter en general y por eso han comprado una compañía que se dedica justamente a eso.

Se trata de Smyte, empresa creadora de tecnología para combatir el spam. La publicación en el blog de Twitter dice que tanto el equipo humano, como la tecnología y el enfoque de Smyte "se alinean con nuestros esfuerzos para mejorar la salud de las conversaciones en Twitter".

Según la propia Smyte, la empresa se fundó con el solo fin de "ayudar que la gente esté segura cuando entre a internet". Y ahora, dentro de una compañía gigantesca como Twitter, "seguiremos adelante con nuestra misión, pero ahora a gran escala".

Esto quiere decir además que todos los negocios que Smyte estaba llevando a cabo de forma independiente se acaban, ya que su trabajo de ahora en adelante seguirá exclusivamente dentro de la red social del pajarraco pájaro azul.

Ni Twitter ni Smyte revelaron los montos detrás de la operación, pero con toda seguridad fue muy millonaria. Y se enmarca además en la política de acciones que está llevando a cabo la red social para erradicar los problemas de su plataforma, que poco a poco podrían empezar a dar resultados más allá de que los trolls no se han acabado (y probablemente no desaparezcan nunca).

https://www.fayerwayer.com/2018/06/twitter-smyte-trolls/

Leer más
Noticia publicada 22 Junio 2018, 21:38 pm por wolfbcn

 

 

Conectado desde: 216.73.216.138