Los responsables de Age of Empires 4 han diseñado un modo de juego que reduce los requisitos gráficos al mínimo para no dejar atrás a aquellas personas que siguen jugando en ordenadores antiguos.

Age of Empires IV se estrena este jueves 28 de octubre en PC estando disponible desde el primer día en Xbox Game Pass, lo que sin duda abrirá las puertas de esta nueva entrega de la popular franquicia de estrategia a una enorme comunidad de jugadores. Sin embargo, esta no es la única decisión que World's Edge y Relic Entertainment han tomado para llegar al mayor número de personas posible: también han ideado una serie de características gráficas que permitirá ejecutar el nuevo Age of Empires en ordenadores más humildes.

Según explican los responsables del juego en un artículo publicado en Xbox Wire, durante el desarrollo de Age of Empires IV se percataron de que la comunidad de esta franquicia sigue utilizando ordenadores antiguos o con gráficas integradas; al detectar esa tendencia decidieron crear un modo de juego que permitiese a los fans dar el salto a la nueva entrega sin tener que actualizar su hardware.

Este modo se activa automáticamente cuando el juego detecta que el PC en cuestión lo necesita para ejecutarse de manera adecuada, aunque se trata de una serie de configuraciones gráficas que pueden ser revisadas y modificadas en el propio menú.

Menos calidad visual y sin batallas de ocho jugadores

Al activar este modo, los jugadores de Age of Empires IV pueden esperar texturas de menor resolución, menos efectos de destrucción, iluminación simplificada y menos calidad visual, en general, pero también tendrán que decir adiós a una de las características más esperadas de esta entrega: las batallas de ocho jugadores. Quienes tengan un PC que no alcance los requisitos mínimos tendrán que conformarse con batallas de hasta cuatro jugadores, pero les podrá merecer la pena por el mero hecho de que de esa manera podrán ejecutar el juego.

Es "un juego de estrategia muy bueno, con varios ajustes en la fórmula jugable que la modernizan para adaptarse a las mecánicas de hoy en día sin perder la esencia de la saga y permitiéndonos estar ante un título muy reconocible y disfrutable por todos los tipos de aficionados al género" al que "sin embargo le falta un poco de magia, quizás de originalidad y también implementar mejor alguna que otra mecánica para lograr ser tan trascendente o impactante como, sobre todo, su segunda entrega".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A finales del año pasado 343 Industries anunció el cierre de los servidores de los juegos de la saga Halo en Xbox 360. En aquel momento se dijo que esta decisión, motivada por el trabajo que suponía mantenerlos abiertos, se haría efectiva en algún momento de 2021. Ahora, sin embargo, se ha concretado su fecha definitiva y la buena noticia es que se mantendrán abiertos un poco más de lo previsto: hasta el 13 de enero de 2022.

Estas son las entregas de Halo que se verán afectadas por dicha decisión:

Halo: Reach
Halo 4
Halo 3 
Halo 3: ODST 
Halo: Combat Evolved Anniversary 
Spartan Assault 
Halo Wars 

Si vamos al blog oficial de Halo Waypoint observamos que el proceso de cierre de los servidores está actualmente en su tercera fase, la que consiste en recordar a los usuarios que próximamente dejarán de estar disponibles las funciones online de estos títulos. Antes se ha pasado por otras etapas, como la discontinuación de la venta de los juegos de Halo en formato digital en Xbox 360 o la posibilidad de obtener todos los DLC de manera gratuita.

Se podrá seguir jugando offline y a las versiones de Halo: The Master Chief Collection

Cabe recordar que esta decisión no afecta a las versiones mejoradas de estas entregas incluidas en Halo: The Master Chief Collection, que seguirán manteniendo sus funcionalidades online, aunque sí afectará a las versiones retrocompatibles de estos juegos en Xbox Series X/S y Xbox One. No obstante, desde 343 Industries recuerdan que los modos singleplayer de todos estos juegos van a seguir siendo accesibles para quienes dispongan de ellos.

343 Industries explicó en su momento que el cierre de los servidores de la saga Halo en Xbox 360 se debía a un descenso en el número de jugadores en esta plataforma, algo que hacía que cada vez hubiera menos razones para seguir manteniendo activas las funciones online. El estudio también está centrado ahora en Halo Infinite, una entrega que llegará el 8 de diciembre a Xbox Series X/S, Xbox One y PC tanto con modo multijugador gratuito como con una campaña de pago que se ha mostrado hoy en un extenso tráiler gameplay.

Fuente: www,vandal.elespanol.com

La obsesión de Zuckerberg por el metaverso sigue creciendo. Tras el lanzamiento de su primera aproximación con una plataforma de realidad virtual en agosto y el anuncio hace pocos días que planean contratar a 10.000 personas en Europa para desarrollar este universo virtual, el siguiente paso que planea Facebook es la creación de una empresa matriz para gestionar todos sus negocios con un nuevo nombre que refleje su enfoque en el metaverso, según ha adelantado The Verge.

Con este movimiento, Facebook daría el mismo paso que ya dio Google en 2015 al crear Alphabet para organizar sus múltiples negocios bajo una marca distinta a su nombre original, con la que, además de mejorar la gestión de las distintas empresas que poseen, daban a entender al mundo que ya no eran sólo un motor de búsqueda, sino un poderoso conglomerado en expansión.

Con este movimiento Facebook tiene una intención parecida: reorganizar todos sus negocios bajo un holding empresarial de distinto nombre en el que la red social no sea más que un negocio de los muchos que posee Zuckerberg, junto a otros como Instagram, WhatsApp y Oculus. Y en este caso, además, la nueva marca tendrá un guiño a la nueva obsesión de su CEO, el metaverso.

No obstante, más allá de mejorar la organización de sus negocios y reflejar su golpe de timón hacia el metaverso, parece claro que este movimiento es también un lavado de cara necesario tras meses de escándalos, juicios y problemas técnicos que han ensuciado el nombre de Facebook. De esta forma, Zuckerberg quiere hacer borrón y cuenta nueva y distanciarse un poco de las redes sociales que tantos problemas le están dando para centrarse en otros objetivos.

Según explica The Verge, el nuevo nombre es uno de los secretos mejor guardados de la cúpula de Facebook, y son pocos dentro de la propia compañía los que conocen la denominación nueva marca. No obstante, parece que será anunciada muy pronto. Al parecer Zuckerberg planea hablar de este movimiento en la conferencia anual Connect del próximo 28 de octubre, y la creación del nuevo holding empresarial podría ser comunicada incluso antes de esa fecha.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva versión de un malware de minería criptográfica de Linux que se usaba anteriormente para apuntar a contenedores Docker en 2020 ahora se enfoca en nuevos proveedores de servicios en la nube como Huawei Cloud.

El análisis de la nueva campaña proviene de investigadores de TrendMicro, quienes explican cómo el malware ha evolucionado con nuevas características mientras conserva su funcionalidad anterior.

Más específicamente, las muestras más recientes han comentado la función de creación de reglas de firewall (pero todavía está allí) y continúan soltando un escáner de red para asignar otros hosts con puertos relevantes para API.

Sin embargo, la nueva versión de malware solo se dirige a entornos de nube y ahora está buscando y eliminando cualquier otro script de cryptojacking que pueda haber infectado previamente el sistema.

Al infectar un sistema Linux, el minero de monedas malicioso llevará a cabo los siguientes pasos, que incluyen la eliminación de los usuarios que crean los distribuidores de malware de criptominería competidores.


Después de eliminar a los usuarios creados por otros actores de amenazas, los actores agregan sus propios usuarios, un paso común para muchos criptojackers dirigidos a la nube. Sin embargo, a diferencia de muchos otros criptomineros, el malware agrega sus cuentas de usuario a la lista de sudoers, dándoles acceso de root al dispositivo.

Para garantizar que se mantenga la persistencia en el dispositivo, los atacantes utilizan su propia clave ssh-RSA para realizar modificaciones del sistema y cambiar los permisos de archivo a un estado bloqueado.

Esto significa que incluso si otro actor obtiene acceso al dispositivo en el futuro, no podrá tomar el control completo de la máquina vulnerable.

Los actores instalan el servicio de proxy Tor para proteger las comunicaciones de la detección y el escrutinio del escaneo de la red, pasando todas las conexiones a través de él para su anonimato.


Los binarios descartados ("linux64_shell", "ff.sh", "fczyo", "xlinux") presentan cierto nivel de ofuscación, y TrendMicro ha visto señales de que el empaquetador UPX se ha implementado para la envoltura.


Los actores han pasado por una mayor manipulación para ajustar los binarios para el sigilo contra los conjuntos de herramientas de detección y análisis automatizados.

Después de afianzarse en un dispositivo, los scripts del pirata informático explotarán los sistemas remotos y los infectarán con los scripts maliciosos y el criptominer.

Las vulnerabilidades conocidas analizadas durante este ataque incluyen:

- Contraseñas SSH débiles
- Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2020-14882)
- Redis acceso no autorizado o contraseñas débiles
- Acceso no autorizado a PostgreSQL o contraseña débil
- Contraseña débil de SQLServer
- Acceso no autorizado de MongoDB o contraseña débil
- Contraseña débil del protocolo de transferencia de archivos (FTP)

CSP bajo bombardeo

-Huawei Cloud es un servicio relativamente nuevo, pero el gigante tecnológico chino afirma que ya atiende a más de tres millones de clientes. TrendMicro ha informado a Huawei de la campaña, pero aún no ha recibido un reconocimiento.

Ya sea que implemente sus instancias, tenga en cuenta que ejecutar evaluaciones de vulnerabilidad y escaneos de malware puede no ser suficiente para defenderse de este ataque. Debe evaluar el modelo de seguridad de su CSP y ajustar su enfoque para complementarlo con más protecciones.

Estos mineros criptográficos dirigidos a la nube han ido en aumento desde principios de año, y mientras los valores criptográficos se disparen, los actores tendrán un incentivo para hacerlos más poderosos y más difíciles de detectar .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de un año después de que Slack se quejara ante la UE de la decisión de Microsoft de integrar Teams en Office, la autoridades antimonopolio de la Unión Europea están dando los primeros pasos para investigar este caso.

Cabe recordar, además, que en junio de este año Microsoft doblaba su apuesta y anunciaba que Teams pasaría a estar integrado en Windows 11.

Preguntar a la competencia

Así, y según avanza Reuters, los responsables de la UE están preguntando a los rivales de Microsoft si consideran que integrar Teams en Office le da mayor influencia y poder.

Las preguntas se centran en el período de 2016 a 2021. Cabe señalar que Microsoft anunció Teams a principios de 2017 para competir con Slack y otras aplicaciones de colaboración.

Slack se quejó ante la Unión Europeo en julio del pasado año por la decisión de Microsoft al asegurar que vincular o agrupar Teams con Office era ilegal. La compañía reclamaba a las autoridades anti competencia que obligara a la compañía a separar ambos productos.

Además, Slack asegura que, una vez integrado en Office, los usuarios no tenían fácil el desinstalar Teams y que desde Microsoft tampoco se facilitó información para que aplicaciones de terceros (como Slack) pudieran integrarse y funcionar mejor con la suite ofimática.

Productos empaquetados

Estas quejas han llevado a que la UE pregunte si los productos empaquetados pueden suponer para las empresas el acceso a datos que les permitan sacar partido de su posición en el mercado. Algo que, a la vez, podría dificultar la competencia de terceros, especialmente de los que solo tienen un producto.


Sin embargo, y auqnue en aquel momento Slack solo era una aplicación de colaboración, posteriormente fue adquirida por Salesforce. Es más, Salesforce ya ha empezado también a integrar Slack en algunas de sus aplicaciones nativas.

El impacto de la Covid

En el cuestionario remitido por las autoridades europeas también se pregunta sobre las barreras de entrada o expansión en el mercado de aplicaciones en el lugar de trabajo, los costes que puede suponer el cambiar de aplicación y la importancia de la protección de los datos de los usuarios.

A los rivales se les ha pedido que faciliten una lista de clientes que se hayan cambiado a Microsoft Teams o su paquete de Office, el porcentaje de ingresos que habrían perdido como resultado de este cambio, así como el impacto de los productos integrados en sus inversiones en innovación y la calidad y el precio de sus productos.

Hemos preguntado a varias empresas de la competencia sobre estas preguntas remitidas por la UE sin que, por el momento, ninguna haya querido declarar nada.

Además, también se indaga sobre si la pandemia ha impulsado la demanda de aplicaciones en el lugar de trabajo y cómo creen estas empresas que evolucionará.

Un viejo historial

Cabe recordar que Microsoft estuvo casi diez años litigando con la UE por cuestiones antimonopolio.

En aquellos años, fue otra integración (la del navegador en el sistema operativo) la que abrió la puerta a uno de los procesos más largos entre la tecnológica y las autoridades europeas. Pero también la del reproductor de música en Windows motivó otra denuncia por minar la competencia.

De momento, estas preguntas solo son el inicio de una investigación cuyas consecuencias aún se desconocen.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de seis meses de desarrollo, se acaba de presenta el lanzamiento de la nueva versión del proyecto «LLVM 13.0» compatible con GCC (compiladores, optimizadores y generadores de código) que compila programas en un código de bits intermedio de instrucciones virtuales similares a RISC (una máquina virtual de bajo nivel con un sistema de optimización multinivel).

En esta nueva versión se han añadido diversos cambios y novedades de las cuales se destacan las mejoras de soporte asi como también la implementación de las nuevas características de C++ 20 y C++ 2b  entre otras cosas más.

Principales novedades de LLVM 13.0

En esta nueva versión podremos encontrar que se agregó la opción «-ehcontguard» para usar la tecnología CET (Windows Control-flow Enforcement Technology) para proteger en la etapa de manejo de excepciones de la ejecución de exploits construidos usando técnicas de Programación Orientada al Retorno (ROP).

Además, el proyecto debuginfo-test ha sido renombrado a cross-project-tests y está diseñado para probar componentes de varios proyectos, sin limitarse a la información de depuración y el sistema de compilación proporciona soporte para compilar varias distribuciones, por ejemplo, una con utilidades y la otra con bibliotecas para desarrolladores.

Por otra parte Libc++ continúa implementando nuevas características de los estándares C++ 20 y C++ 2b, incluida la finalización de la biblioteca «concepts», además de que se agregó soporte para std :filesystem para Windows basada en MinGW, también archivos de encabezado separados <algorithm>, <iterator> y <utility> y se agregó la opción de compilacion LIBCXX_ENABLE_INCOMPLETE_FEATURES para deshabilitar los archivos de encabezado con una funcionalidad implementada de manera incompleta.

Mientras que el backend para la arquitectura AArch64 admite las extensiones Armv9-A RME (Realm Management Extension) y SME (Scalable Matrix Extension) en ensamblador, se agregó compatibilidad con ISA V68/HVX al backend de la arquitectura Hexagon y el backend x86 ha mejorado la compatibilidad con los procesadores AMD Zen 3 y se agregó soporte para APU GFX1013 RDNA2 al backend AMDGPU.

También se han ampliado las capacidades del enlazador LLD, que implementa el soporte para procesadores Big-endian Aarch64, y el backend Mach-O se ha llevado a un estado que permite enlazar programas ordinarios. Incluye las mejoras necesarias para vincular Glibc mediante LLD.

La utilidad llvm-mca (Machine Code Analyzer) agrega soporte para procesadores de tubería superescalares en orden, como ARM Cortex-A55.

El depurador LLDB para la plataforma AArch64 proporciona soporte completo para la autenticación de puntero, MTE (MemTag, Memory Tagging Extension) y registros SVE, además de que se han agregado comandos que le permiten vincular etiquetas a cada operación de asignación de memoria y organizar, al acceder a la memoria, verificando el puntero que debe estar asociado con la etiqueta correcta.
El depurador LLDB y la interfaz Fortran – Flang se han agregado a los ensamblados binarios generados por el proyecto.

En cuanto a las mejoras que se destacan de Clang 13.0:

- Se ha implementado soporte para llamadas de cola garantizadas (una llamada de subrutina al final de una función, que forma una recursividad de cola si la subrutina se llama a sí misma).
- Se agregaron las banderas «-Wunused-but-set-parameter» y «-Wunused-but-set-variable» para mostrar una advertencia si un parámetro o variable se establece pero no se usa.
- Se agregó la bandera «-Wnull-pointer-subtraction» para mostrar una advertencia si el código puede llevar a un comportamiento indefinido debido al uso de un puntero nulo en las operaciones de resta.
- Se agregó el indicador «-fstack-use» para generar para cada archivo de código un archivo «.su» adicional que contiene información sobre el tamaño de los marcos de la pila para cada función definida en el archivo procesado.
- Se ha agregado un nuevo tipo de salida al analizador estático, «sarif-html», que da como resultado la generación de informes simultáneamente en formatos HTML y Sarif.
- Se agregó una nueva verificación para allocClassWithName. Cuando se especifica la opción «-analyzer-display-progress», se muestra el tiempo de análisis de cada función. El analizador de puntero inteligente (alpha.cplusplus.SmartPtr) está casi listo.
- Se implementó el soporte para las directivas de transformación de bucle («#pragma omp unrol» y «#pragma omp tile»), definidas en la especificación OpenMP 5.1.
- Se ha agregado una gran parte de los nuevos cheques a linter clang-tidy.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en su sitio oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gigante del código abierto, Red Hat (ahora propiedad de IBM) ha anunciado que su distribución Red Hat Enterprise Linux 8.5 (RHEL 8.5) entra en fase Beta de desarrollo y ya se puede probar con todas las novedades que se han integrado para este sistema operativo de grado empresarial. Se trata de una de las cinco mayores actualizaciones desde la llegada de RHEL 8.

Esta nueva versión también agrega algunas interesantes funciones novedosas en RHEL 8.5, como el parcheado del kernel en vivo, sin tener que usar la línea de comandos y sin reinicios. También ha habido algunos cambios en cuanto a las métricas de rendimiento para ayudar a identificar y prevenir problemas de rendimiento en las máquinas, como una alta carga de CPU, excesivo uso de RAM o de E/S de las unidades de almacenamiento, sobrecargas en las redes, etc.

Además, los usuarios y administradores de RHEL 8.5 podrán exportar de forma fácil las métricas de rendimiento obtenidas al servidor Grafana. Por otro lado, también hay otras novedades en cuanto al sistema de configuración, automatización y gestión de servicios (VPN, Postfix, timesync, Storage, Microsoft SQL Server). Novedades importantes para los administradores, ya que este sistema operativo está orientado para unos ámbitos empresariales donde toda esta gestión es vital en el día a día.

RHEL 8.5 también incluye soporte para OpenJDK 17, así como nuevas funciones de seguridad para acceso personal, soporte para autenticación NTS (Network Time Security) para NTP, mejoras en el soporte de contenedores Linux, y actualizaciones de idiomas para desarrolladores.  Y no menos importante es decir que RHEL 8.5 Beta puede estar ya en tu equipo para evaluarlo (no recomendable para entornos en producción). Así no solo probarás todas las novedades antes de la salida de la versión final de forma gratuita, sino que también podrás contribuir a reportar algunos problemas en caso de detectarlos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La terminación del certificado IdenTrust (DST Root CA X3) utilizado para firmar el certificado Let's Encrypt CA ha provocado problemas con la validación del certificado Let's Encrypt en proyectos que utilizan versiones anteriores de OpenSSL y GnuTLS.

Los problemas también afectaron a la biblioteca LibreSSL, cuyos desarrolladores no tuvieron en cuenta la experiencia pasada relacionada con fallas que ocurrieron después de que expiró el certificado raíz AddTrust de la autoridad de certificación Sectigo (Comodo).

Y es que en las versiones OpenSSL hasta la 1.0.2 incluida y en GnuTLS anteriores a la 3.6.14, se produjo un error que no permitía el procesamiento correcto de los certificados con firma cruzada si uno de los certificados root utilizados para la firma vencía, incluso si se mantuvieron otras válidas.

La esencia del error es que las versiones anteriores de OpenSSL y GnuTLS analizaron el certificado como una cadena lineal, mientras que según RFC 4158, un certificado puede representar un gráfico circular distribuido dirigido con varios anclajes de confianza que deben tenerse en cuenta.

Por su parte el proyecto OpenBSD lanzó con urgencia parches para las ramas 6.8 y 6.9 hoy, que solucionan problemas en LibreSSL con la verificación de certificados con firma cruzada, uno de los certificados raíz en la cadena de confianza ha expirado. Como solución al problema, se recomienda en /etc /installurl, se cambie de HTTPS a HTTP (esto no amenaza la seguridad, ya que las actualizaciones se verifican adicionalmente mediante firma digital) o seleccione un espejo alternativo (ftp.usa.openbsd.org, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, cdn.openbsd .org).

También se puede eliminar el certificado DST Root CA X3 caducado del archivo /etc/ssl/cert.pem, además de que la utilidad syspatch utilizada para instalar actualizaciones del sistema binario ha dejado de funcionar en OpenBSD.

Los problemas similares de DragonFly BSD ocurren cuando se trabaja con DPorts. Al iniciar el administrador de paquetes pkg, se genera un error de validación del certificado. La corrección se ha agregado a las ramas maestras, DragonFly_RELEASE_6_0 y DragonFly_RELEASE_5_8 hoy. Como solución alternativa, puede eliminar el certificado DST Root CA X3.

Algunas de las fallas que ocurrieron después de que se canceló el certificado de IdenTrust fueron las siguientes:

- Se ha interrumpido el proceso de comprobación de los certificados Let's Encrypt en aplicaciones basadas en la plataforma - Electron. Este problema se solucionó en las actualizaciones 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Algunas distribuciones tienen problemas para acceder a los repositorios de paquetes cuando se usa el administrador de paquetes APT incluido con versiones anteriores de la biblioteca GnuTLS.
- Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de septiembre).
- El cliente acme se rompió en OPNsense, el problema se informó con anticipación, pero los desarrolladores no lograron lanzar el parche a tiempo.
- El problema afectó al paquete OpenSSL 1.0.2k en RHEL/CentOS 7, pero hace una semana para RHEL 7 y CentOS 7, se generó una actualización del paquete ca-certificate-2021.2.50-72.el7_9.noarch, a partir del cual se generó el Se eliminó el certificado IdenTrust, es decir la manifestación del problema fue bloqueada de antemano.
- Dado que las actualizaciones se publicaron con anticipación, el problema con la verificación de los certificados Let's Encrypt afectó solo a los usuarios de las antiguas ramas RHEL/CentOS y Ubuntu, que no instalan actualizaciones con regularidad.
- El proceso de verificación de certificados en grpc está roto.
- Fallo al crear la plataforma de páginas de Cloudflare.
- Problemas de Amazon Web Services (AWS).
- Los usuarios de DigitalOcean tienen problemas para conectarse a la base de datos.
- Fallo en la plataforma en la nube Netlify.
- Problemas para acceder a los servicios de Xero.
- Falló un intento de establecer una conexión TLS con la API web de MailGun.
- Fallos en las versiones de macOS e iOS (11, 13, 14), que teóricamente no deberían haber sido afectados por el problema.
- Fallo en los servicios de Catchpoint.
- Error al comprobar los certificados al acceder a la API de PostMan.
- The Guardian Firewall se bloqueó.
- Interrupción en la página de soporte de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
- Choque en la plataforma Cerb.
- No se pudo verificar el tiempo de actividad en Google Cloud Monitoring.
- Problema con la validación de certificados en Cisco Umbrella Secure Web Gateway.
- Problemas para conectarse a los proxies de Bluecoat y Palo Alto.
- OVHcloud tiene problemas para conectarse a la API de OpenStack.
- Problemas para generar informes en Shopify.
- Hay problemas al acceder a la API de Heroku.
- Bloqueo en Ledger Live Manager.
- Error de validación de certificado en las herramientas de desarrollo de aplicaciones de Facebook.
- Problemas en Sophos SG UTM.
- Problemas con la verificación de certificados en cPanel.
- Como solución alternativa, se propone eliminar el certificado «DST Root CA X3» del almacén del sistema (/etc/ca-certificates.conf y /etc/ssl/certs) y luego ejecutar el comando «update-ca -ificates -f -v «).

En CentOS y RHEL, puede agregar el certificado «DST Root CA X3» a la lista negra.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los paquetes de nueva generación tienen sus puntos fuertes. De entre ellos, yo destacaría que pueden funcionar en cualquier distribución Linux y que tienen todo lo necesario, dependencias incluidas, para funcionar tras la instalación. Lo malo es que no respetan algunas cosas, como el diseño de nuestro escritorio. Cuando abrimos una de estas aplicaciones, solemos ver algo que desentona, aunque esto depende del escritorio en el que pensaban en el momento de diseñarla, pero GNOME 42 prepara algo que minimizará un poco la sensación de falta de consistencia visual.

GNOME 41 ha sido lanzado hace menos de dos semanas, y eso significa que aún faltan unos seis meses para el lanzamiento de la siguiente versión, pero también que vamos a empezar a conocer detalles sobre GNOME 42. Tal y como leemos en este artículo de Alex Mikhaylenko, la próxima versión de GNOME incluirá un ajuste de estilo oscuro para todo el sistema.

Nuevo ajuste de estilo oscuro en GNOME 42

Tal y como explica Mihkaylenko, la idea es hacer algo parecido a lo que se ha hecho en elementary OS:

CitarLa idea es más o menos la misma que hace elementary OS: hay una preferencia del sistema, un triestado con valores: no-preference, prefer-dark, prefer-light. Las tres son sólo sugerencias; las aplicaciones son libres de seguirlas o no, según convenga. Los valores no-preference y prefer-dark se exponen en la configuración, mientras que el valor prefer-light se reserva para un uso futuro.

Entre lo más interesante que podemos leer en artículo de Alex tenemos esta frase: «estar en el portal también significa que es accesible para las aplicaciones Flatpak sin abrir ningún agujero de sandbox«, lo que, dicho de otro modo, significa que funcionará en aplicaciones «sandboxed» sin que con ello se pierda seguridad. No se han mencionado los paquetes Snap ni AppImage, pero probablemente también estén soportados por el próximo ajuste de GNOME 42.

GNOME 42 será lanzado aproximadamente en marzo de 2022, y en estos seis meses iremos conociendo el resto de novedades que introducirá la próxima versión del popular escritorio.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La nueva capa de personalización ColorOS 12 se presentó al público el 16 de septiembre en China. La que sería la futura capa para teléfonos OPPO y OnePlus, pues en su país comparten software, llegó con la promesa de correr sobre Android 12 y llegar próximamente al mercado. Lo que restó en su momento fue saber cuál sería su fecha para abordar el mundo exterior, cruzar la frontera de China y poner un pie en el más allá.

Ahora, OPPO al fin ha confirmado cuándo podremos ver ColorOS 12 en el mercado internacional. La compañía oriental ha fijado la fecha del 11 de octubre para presentar su nueva capa en sociedad, otra vez, y describir con detalle qué es lo que nos encontraremos cuando al fin se libere para los teléfonos móviles compatibles. Recordemos, sólo para los OPPO pues los OnePlus internacionales corren, todavía, OxygenOS. Que también va a llegar a su versión 12, por cierto.

Mejoras gráficas, funcionales y de seguridad en ColorOS 12



Si todo sigue el hilo de lo presentado en China, con ColorOS 12 recibiremos un lavado de cara gráfico para toda la capa, incluyendo desde el diseño de la interfaz hasta la inclusión de nuevos packs de iconos y también nuevas animaciones. En total, OPPO las cifró en más de 300 además de aprovechar su "motor de animación cuántica" para mejorar la interacción háptica del sistema mediante vibraciones, hábitos físicos de resistencia y rebotes.

Con ColorOS 12 también deben llegar los Omojis, la respuesta de OPPO a los Animojis de Apple o a los AR Emojis de Samsung, y que no son más que iconos personalizados en tres dimensiones con los que poder personalizar nuestras conversaciones. También se mejorará la barra lateral inteligente, que llegará a su versión 2.0 con la nueva capa y nos permitirá, entre otras muchas cosas, comparar precio cuando estemos comprando online.

CitarCon ColorOS 12 internacional llegarán cambios, pero también información sobre fechas y modelos compatibles

En el apartado de interconectividad, ColorOS 12 incorporará un sistema de conexión para ordenadores personales siempre que éstos cuenten con Windows 10 o superior. Podremos transferir llamadas, contestar mensajes y demás con velocidades de transferencia de hasta 45Mbps. Y claro está, las nuevas opciones de privacidad de Android 12 se subirán el tren de ColorOS 12.

Todo esto, como decimos, ya se ha presentado en China pero ahora le llega el turno al mundo internacional. Aquí seguiramente veremos cambios, como suele ocurrir con estas capas locales, y entonces sabremos qué nos toca recibir, cuándo y para qué teléfonos será. 11 de octubre a las 11 de la mañana, hora española, apuntadlo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google lleva ya tiempo dando pasos para elevar el nivel de seguridad de todos sus servicios, como lo demuestra el hecho de que el cifrado de extremo a extremo haya llegado a su mensajería RCS, la protagonizada por Mensajes de Google. O como la continua apuesta por sus llaves físicas Titan Key, que en su última iteración incluyeron NFC para poder ser usadas por contacto.

Ahora, Google ha puesto el ojo en la autenticación de dos factores, de la que hemos hablado en más de una ocasión. Google sigue empeñado en proteger aún más las cuentas de sus usuarios y ha afirmado que, como parte de su celebración del Mes de la Cyberseguridad, se encargará de llevar la autenticación 2FA a más de 150 millones de usuarios antes de final de año, y lo mismo ocurrirá con muchos de sus creadores de Youtube, como ya avisó hace meses.

Más usuarios con 2FA de aquí a final de año

Recordemos que allá por el año 2020, ése que casi se nos perdió por completo por culpa de la pandemia, Google anunció varias mejoras de seguridad para sus servicios. Fue entonces cuando llegó la opción de borrado automático del historial de actividad de nuestras cuentas o cuando se introdujo la "Verificación de privacidad" o "Privacy Checkup" para indicarnos si nuestras contraseñas eran o no seguras. La compañía afirma que continúa verificando la seguridad de más de 1.000 millones de claves para evitar que sus usuarios sean hackeados.

Ahora, Google dará un paso más y se centrará en cruzar a más usuarios de un lado de la frontera de la seguridad al otro. La compañía quiere activar la autenticación de dos factores, o 2FA, a otros 150 millones de usuarios de sus servicios antes de que acabe este 2021. También quiere hacerlo con 2 millones de creadores de Youtube, aunque en este caso no se tratará de una activación automática sino que les pedirá que lo activen de forma manual.

Cuenta Google que reconoce que en estos momentos la autenticación de dos factores no es el proceso más adecuado para todos sus usuarios pero que sigue trabajando en tecnologías que lo logren. Google pretende que este proceso de autenticación, cuyo principal baluarte se encuentra en Google Authenticator, se convierta en el día a día de sus usuarios, creando un proceso cómodo y lo más transparente posible. Veremos si lo consigue.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft al fin ha lanzado Windows 11 en todo el mundo implementándolo a través de Windows Update en dispositivos con hardware compatible y las últimas actualizaciones.

Se había dicho que  Windows 11 se lanzaría el 5 de octubre de 2021, pero oh "sorpresa" fue lanzado un día antes, Microsoft utilizó un enfoque de seguimiento del sol para el lanzamiento...¿pero qué es eso? pues les comento: El enfoque del sol significa que Windows 11 se lanzaria en todo el mundo cuando comience el 5 de octubre, como las regiones de Australia y Nueva Zelanda.

Obteniendo Windows 11 ahora sí ya el oficial sin miedo a que descargues otra cosa:

Usuarios de Windows 10 pueden actualizar a Windows 11 gratis ahora a través de Windows Update siempre que su dispositivo tenga  hardware compatible. Ojo...los dispositivos también deberán ejecutar Windows 10 2004 y versiones posteriores y tener instaladas al menos las actualizaciones del 14 de septiembre de 2021.

"Comenzaremos a ofrecer la actualización a nuevos dispositivos elegibles primero. Luego, como con lanzamientos anteriores, estudiaremos los datos de salud del dispositivo y otras señales para determinar el ritmo al que se ofrece Windows 11 a través de Windows Update", explicó Microsoft en un nuevo documento de ayuda.

Para actualizar a Windows 11:

- abrimos Configuración
- actualización y seguridad
- actualización de Windows
- seleccione Buscar actualizaciones. Si Windows 11 está disponible para nuestro flamante dispositivo, se ofrecerá como una actualización opcional.

Nota: si Microsoft detecta un problema de compatibilidad con un componente de hardware en particular de su PC, colocará una suspensión de seguridad para evitar la actualización hasta que se resuelva.

En el caso de usuarios con equipo más antiguo pero compatible, es posible que deba esperar un poco antes de que Windows Update ofrezca la actualización, ya que Microsoft la ofrece primero a los dispositivos con equipo más nuevo.

Si deseamos y nos carcome la duda y las ganas de  instalarlo de inmediato, podemos hacerlo valiendonos de la herramienta "Asistente de instalación" o la Herramienta de creación de medios para realizar una actualización de inmediato.

Para los usuarios sin TPM 2.0, una CPU más antigua u otro hardware incompatible, deberá realizar algunos pasos antes de instalarlo y un PC con Windows 11 que no cumple con los requisitos no va a recibir actualizaciones de seguridad, tampoco funcionarán bien todas las funciones, y tendrán más errores.


Para las empresas, Microsoft ha lanzado  herramientas de implementación y Windows 11 estará disponible a través de WSUS.

Características notables de Windows 11

- función de widgets que reemplaza Noticias e intereses y nos proporciona acceso rápido a noticias personalizadas, pronósticos meteorológicos, información del mercado de valores, entre otros.
- función de  Snap Layouts  que nos permite organizar rápidamente sus ventanas abiertas como desee.
- Microsoft Teams ahora estará integrado directamente en Windows 11
- compatibilidad con DNS sobre HTTPS ofrece búsquedas de DNS encriptadas para "mayor privacidad y evitar la censura"
- nueva Microsoft Store
- interfaz optimizada del Explorador de archivos.
- configuración actualizada y más organizada.
- escritorios virtuales mejorados.
- compatibilidad con juegos HDR mejorada.

Nota:
- no incluye el subsistema de Windows para Android, lo que le permite iniciar aplicaciones de Android directamente en su escritorio. Se espera que esta función se lance a finales de este año.

Problemas recientes:

- Se sugiere que todos los usuarios creen nuevos dispositivos de arranque a partir de las ISO de Windows 11 a medida que se lanzan nuevas versiones.
- Windows 11 incompatible con las máquinas virtuales Oracle VirtualBox (Oracle está trabajando actualmente para resolver este problema)
- Problemas con el software de red Intel 'Killer' y el navegador Cốc Cốc: Microsoft también ha encontrado problemas de compatibilidad con Windows 11 con el software de red Intel "Killer" y el navegador Cốc Cốc.
El software de red de Intel incompatible puede provocar una transmisión y una carga del sitio más lentas debido a problemas de rendimiento del Protocolo de datagramas de usuario (UDP) causados ​​por la caída de paquetes UDP en determinadas condiciones.
Es posible que los usuarios del navegador Cốc Cốc tampoco puedan abrir sitios y encuentren otros problemas o errores en algunos dispositivos Windows 11 afectados. (Microsoft está investigando y trabajando actualmente para encontrar una solución para estos problemas conocidos de Windows 11)


.... esta historia continuará, Saludos Dragora

Apple ha lanzado actualizaciones de seguridad para corregir una vulnerabilidad de día cero explotada en la naturaleza por atacantes para piratear iPhones y Mac con versiones anteriores de iOS y macOS.

El día cero parcheado hoy (registrado como CVE-2021-30869) [ 1 ,  2 ] se encontró en el kernel del sistema operativo XNU y fue informado por Erye Hernandez y Clément Lecigne de Google Threat Analysis Group, e Ian Beer de Google Project Zero .

La explotación exitosa de este error conduce a la ejecución de código arbitrario con privilegios del kernel en dispositivos comprometidos.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente", dijo Apple al describir el error de día cero.

La lista completa de dispositivos afectados incluye:

iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6.a generación) con iOS 12.5.5
y Mac con actualización de seguridad 2021-006 Catalina.

Apple también realizó copias de seguridad de actualizaciones de seguridad para dos días cero previamente parcheados, uno de ellos informado por The Citizen Lab y  utilizado para implementar el software espía NSO Pegasus en dispositivos pirateados .


Larga corriente de días cero explotados en la naturaleza

Además del día cero de hoy, Apple tuvo que lidiar con lo que parece ser un flujo interminable de errores de día cero utilizados en ataques dirigidos a dispositivos iOS y macOS:

- dos días cero a principios de este mes , uno de ellos también se utilizó para instalar el software espía Pegasus en iPhones,
- el exploit FORCEDENTRY revelado en agosto (previamente rastreado por Amnesty Tech como Megalodon),
- tres días cero de iOS  (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) en febrero, explotados en la naturaleza y reportados por investigadores anónimos,
- un  día cero de iOS  (CVE-2021-1879) en marzo que también puede haber sido explotado activamente,
- un día cero  en iOS (CVE-2021-30661) y uno en macOS (CVE-2021-30657)  en abril, explotado por el malware Shlayer,
- otros tres días cero de iOS  (CVE-2021-30663, CVE-2021-30665 y CVE-2021-30666) en mayo, errores que permiten la - ejecución de código remoto arbitrario (RCE) simplemente visitando sitios web maliciosos,
un macOS zero-day (CVE-2021-30713)  en mayo, que fue abusado por el malware XCSSET para eludir la protección de privacidad TCC de Apple,
- dos errores de día cero de iOS (CVE-2021-30761 y CVE-2021-30762)  en junio que "pueden haber sido explotados activamente" para piratear dispositivos iPhone, iPad y iPod más antiguos.
- Actualización: una versión anterior de la historia decía que Apple arregló tres días cero, uno de ellos utilizado para implementar software espía. Hemos actualizado la historia para decir correctamente que la compañía parcheó un solo día cero explotado en la naturaleza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha parcheado tres vulnerabilidades críticas que afectan a los componentes de su sistema operativo de interconexión de redes IOS XE que alimentan enrutadores y controladores inalámbricos, o productos que se ejecutan con una configuración específica.

El peor de los defectos recibió la calificación de gravedad más alta, 10 de 10; afecta a los controladores inalámbricos de la familia Cisco Catalyst 9000 que incluyen los controladores inalámbricos Catalyst 9800-CL de clase empresarial para la nube.

Explotable de forma remota, sin autenticación

Los problemas de seguridad son parte de las actualizaciones de Cisco para septiembre de 2021 y la lista completa de correcciones cuenta con 31 errores , con más de una docena de ellos calificados con una puntuación de gravedad alta o peor.

En la parte superior de la lista en términos de gravedad se encuentra CVE-2021-34770 , una vulnerabilidad que podría ser explotada de forma remota por un atacante no autenticado para ejecutar código arbitrario con privilegios de root, informa un aviso de Cisco .

El problema está en el procesamiento del protocolo de control y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP) del software Cisco IOS XE para los controladores inalámbricos de la familia Cisco Catalyst 9000. Afectados por CVE-2021-34770 incluyen:

- Controlador inalámbrico integrado Catalyst 9800 para switches de las series Catalyst 9300, 9400 y 9500
- Controladores inalámbricos de la serie Catalyst 9800
- Controladores inalámbricos Catalyst 9800-CL para la nube
- Controlador inalámbrico integrado en puntos de acceso Catalyst

Otra vulnerabilidad de gravedad crítica, aunque con una puntuación más baja (9,8 / 10), ahora se identifica como CVE-2021-34727 . Causado por una comprobación de límites insuficiente, está en el proceso vDaemon en el software Cisco IOS XE SD-WAN, señala Cisco .

Un atacante puede aprovecharlo de forma remota sin autenticación enviando tráfico modificado a un dispositivo objetivo vulnerable. La explotación exitosa podría llevar a ejecutar comandos arbitrarios con los privilegios más altos o al menos causar una condición de denegación de servicio (DoS).

Los siguientes productos son vulnerables si ejecutan una versión desactualizada del software Cisco IOS XE SD-WAN y tienen la función SD-WAN activa (deshabilitada de manera predeterminada):

- Enrutadores de servicios integrados (ISR) de la serie 1000
- ISR de la serie 4000
- Enrutadores de servicios de agregación de la serie ASR 1000
- Enrutador de servicios en la nube serie 1000V
- El último en la lista de errores críticos que Cisco parcheó este mes es CVE-2021-1619 , un problema de seguridad en la función de autenticación, autorización y contabilidad (AAA) del software Cisco IOS XE.

Un adversario remoto no autenticado podría usarlo para "instalar, manipular o eliminar la configuración de un dispositivo afectado". El riesgo más pequeño es crear una condición DoS.

"Esta vulnerabilidad se debe a una variable no inicializada. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de solicitudes NETCONF o RESTCONF a un dispositivo afectado. Un exploit exitoso podría permitir al atacante usar NETCONF o RESTCONF para instalar, manipular o eliminar la configuración de un dispositivo de red o dañar la memoria en el dispositivo, lo que resulta en un DoS "- Cisco

El problema afecta a los dispositivos que ejecutan Cisco IOS XE si se configuran en modo autónomo o de controlador, y Cisco IOS XE SD-WAN. En cualquier caso, la condición para que un producto sea vulnerable es haber configurado todo lo siguiente:

- AAA
- NETCONF, RESTCONF o ambos
- habilitar contraseña sin habilitar secreto

El aviso de Cisco para CVE-2021-1619 proporciona los comandos para verificar si el dispositivo está configurado de una manera que lo hace vulnerable. Si la última actualización no se puede instalar de inmediato, existe una solución alternativa y una mitigación .

En este momento, no hay información pública de que alguna de las vulnerabilidades críticas anteriores hayan sido explotada en la naturaleza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace unos seis meses, el proyecto que hay detrás del escritorio que usan las versiones principales de distribuciones como Ubuntu o Fedora nos entregó algo grande. Estoy hablando del GNOME 40 que introdujo cambios enormes, como el dock en la parte inferior o los gestos para entrar a las actividades o el cajón de aplicaciones. Hoy, el proyecto ha lanzado GNOME 41, y no es que sea un lanzamiento sin importancia, pero, lógicamente, no llama tanto la atención.

Tras poco menos de un mes en pruebas, GNOME 41 ha sido anunciado con algunos cambios que continúan el camino iniciado hace seis meses, más si contamos el tiempo de desarrollo, entre lo que tenemos mejoras en los modos de gestión de energía o la nueva versión del centro de software. A continuación tenéis un resumen con las novedades más destacadas que han llegado junto a GNOME 41.

Novedades más destacadas de GNOME 41

- El modo de energía ha sido mejorado, y ahora se pueden cambiar rápidamente desde el menú de estado del sistema. También se ha mejorado el modo de ahorro y ahora el brillo baja más rápido cuando está activo. Además, el modo de ahorro se activará automáticamente cuando el nivel de la batería sea bajo.
- Relacionado con los modos de energía, en GNOME 41 se ha iniciado el soporte para que las aplicaciones puedan solicitar un modo en particular.


GNOME Software ha recibido mejoras como:

- La vista de exploración actualizada facilita la navegación y el descubrimiento de aplicaciones, con descripciones de cada aplicación y mosaicos más atractivos.
- Nuevo conjunto de categorías ayuda a navegar y explorar las aplicaciones disponibles.
- Las páginas de detalles tienen un nuevo diseño, con capturas de pantalla más grandes y nuevos mosaicos de información, que proporcionan una mejor visión general de cada aplicación.
- Diseño más pulido en general.


Ajustes de multitarea, lo que permitirá:

- Desactivar la esquina «caliente» de Actividades.
- Desactivar los bordes activos de la pantalla.
- Configurar un número fijo de espacios de trabajo.
- Mostrar los espacios de trabajo en todas las pantallas, en lugar de sólo en la pantalla principal.
- Restringir el cambio de aplicación al espacio de trabajo actual, cuando se utiliza el atajo de teclado Super+Tab.


- Nueva aplicación Connections, un cliente de sesiones remotas. Soporta VNC y RDP.
- Relacionado con lo anterior, Boxes perderá esta opción.
- Ajustes móviles.
- Mejoras de rendimiento.
- Música ha recibido mejoras visuales.
- Capacidad de crear archivos .zip encriptados en Archivos (estos requieren una contraseña para ser abiertos).
- Nueva función de Calendario que permite importar eventos desde archivos .ics.
- Soporte mejorado para el modo oscuro en la Web, junto con un pellizco más rápido para hacer zoom (en sitios web pesados), y un mejor manejo de los sitios web que no responden.
- Mejora del cambio de tamaño de la ventana en la Calculadora: al ampliar la ventana se muestran controles adicionales, y la ventana también se encoge para ajustarse a las pantallas de los móviles.

Ya disponible, pronto en tu distribución Linux

GNOME 41 ha sido anunciado hace unas horas, lo que significa que ya está disponible para que los desarrolladores vayan añadiéndolo a las diferentes distribuciones Linux. Las que lo recibirán antes serán aquellas que usen el modelo de desarrollo Rolling Release, y más tarde llegará a otras como Fedora. No se ha confirmado, pero los últimos rumores dicen que será el entorno gráfico que usará Ubuntu 21.10 Impish Indri.

Imágenes: Project GNOME.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco los desarrolladores del entorno de escritorio Budgie dieron a conocer que han tomado la decisión de alejarse de la biblioteca GTK a favor de la Biblioteca de la Fundación Enlightenment (EFL).

Esto se debe a que menciona que desafortunadamente, GTK4 no estuvo a la altura de las expectativas de los desarrolladores, además de que el enfoque continuo solo se centra en las necesidades del proyecto GNOME, cuyos desarrolladores no escuchan las opiniones de proyectos alternativos y no quieren tener en cuenta sus necesidades.

El principal incentivo para alejarse de GTK fueron los planes de GNOME de cambiar la forma en que trabaja con los temas, lo que dificulta la creación de temas personalizados en proyectos de terceros. En particular, el estilo de la interfaz de la plataforma lo proporciona la biblioteca libadwaita, que está vinculada al tema Adwaita.

Los desarrolladores de terceros que no quieran replicar completamente la interfaz GNOME deben preparar sus bibliotecas para manejar el estilo, pero en este caso, existe una discrepancia en el diseño de aplicaciones que utilizan la biblioteca alternativa y la biblioteca de temas de la plataforma.

Como tal, tambien hacen mención de que no existen medios estándar para agregar funciones adicionales a libadwaita, y los intentos de agregar la API de recoloración, que facilitaría el cambio de colores en las aplicaciones, no se pudieron conciliar debido a la preocupación de que otros temas además de Adwaita pudieran afectar negativamente la calidad de las aplicaciones para GNOME y complica el análisis de problemas de los usuarios.

Por lo tanto, los desarrolladores de escritorios alternativos se apegaron al tema de Adwaita.

Entre las características de GTK4 que disgustan a los desarrolladores de Budgie, la exclusión de la posibilidad de cambiar algunos widgets mediante la creación de subclases, transfiriendo a la categoría de API X11 desactualizadas que no son compatibles con Wayland (por ejemplo, en Budgie, las llamadas GdkScreen y GdkX11Screen se utilizó para determinar la conexión y cambiar la configuración de los monitores), problemas con el desplazamiento en el widget GtkListView y la pérdida de capacidad para manejar eventos de mouse y teclado en GtkPopovers si la ventana está desenfocada.

Habiendo sopesado todos los pros y los contras de cambiar a kits de herramientas alternativos, los desarrolladores llegaron a la conclusión de que lo más óptimo es la transición del proyecto al uso de las bibliotecas EFL.

La transición a Qt se reconoció como problemática debido a la vinculación de esta biblioteca en C++ y las incertidumbres en la futura política de licencias. La mayor parte del código de Budgie está escrito en Vala, pero se permitieron otros lenguajes como lo son C o Rust como opciones de migración.

En cuanto a la distribución de Solus, el proyecto continuará formando una compilación alternativa basada en GNOME, pero esta compilación se marcará como no supervisado por el proyecto y se asignará a una sección separada en la página de descarga.

Como recordatorio, el escritorio Budgie ofrece su propia implementación de GNOME Shell, paneles, applets y sistema de notificación. Para administrar las ventanas, se utiliza el administrador de ventanas Budgie Window Manager (BWM), que es una modificación extendida del complemento básico de Mutter. Budgie se basa en un panel que es similar en la organización del trabajo a los paneles de escritorio clásicos. Todos los elementos del panel son applets, lo que permite personalizar de manera flexible la composición, cambiar la ubicación y reemplazar la implementación de los elementos del panel principal a su gusto.

Los resultados de la migración se ofrecerán en Budgie 11. En particular, este no es el primer intento de alejarse de GTK ya que en 2017 el proyecto ya tomó la decisión de cambiarse a Qt, pero luego revisó los planes con la esperanza de que la situación cambiara en GTK4.

Después del lanzamiento de Budgie 11, los desarrolladores evaluarán sus capacidades en comparación con GNOME Shell y decidirán continuar construyendo la compilación con GNOME o descontinuar proporcionando herramientas para migrar a la compilación desde Budgie 11.

En la compilación Solus con el escritorio Budgie 11, Está previsto revisar la composición de las aplicaciones, sustituyendo las aplicaciones GNOME por analógicas, incluidas las desarrolladas dentro del proyecto. Por ejemplo, está previsto desarrollar su propio centro de instalación de aplicaciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha lanzado iOS 14.8, iPadOS 14.8 , watchOS 7.6.2 , macOS Big Sur 11.6 y Safari 14.1.2 para corregir dos vulnerabilidades explotadas activamente, una de las cuales derrotó las protecciones de seguridad adicionales integradas en el sistema operativo.

La lista de dos defectos es la siguiente:

- CVE-2021-30858 (WebKit): un uso después de un problema gratuito que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. La falla se ha solucionado mejorando la gestión de la memoria.
- CVE-2021-30860 ( CoreGraphics ): una vulnerabilidad de desbordamiento de enteros que podría provocar la ejecución de código arbitrario al procesar un documento PDF creado con fines malintencionados. El error se corrigió con una validación de entrada mejorada.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente", señaló el fabricante del iPhone en su aviso.

Las actualizaciones llegan semanas después de que investigadores del Citizen Lab de la Universidad de Toronto revelaran detalles de un exploit de día cero llamado " FORCEDENTRY " (también conocido como Megalodon) que fue armado por el proveedor de vigilancia israelí NSO Group y supuestamente utilizado por el gobierno de Bahrein para instalar El software espía Pegasus en los teléfonos de nueve activistas en el país desde febrero de este año.

Además de activarse simplemente enviando un mensaje malicioso al objetivo, FORCEDENTRY también se destaca por el hecho de que socava expresamente una nueva función de seguridad de software llamada BlastDoor que Apple incorporó a iOS 14 para evitar intrusiones sin hacer clic al filtrar los datos no confiables enviados a través de iMessage. .

"Nuestro último descubrimiento de otro día cero de Apple empleado como parte del arsenal de NSO Group ilustra aún más que empresas como NSO Group están facilitando el 'despotismo como servicio' para las agencias de seguridad gubernamentales que no rinden cuentas", dijeron los investigadores de Citizen Lab .

"Las aplicaciones de chat ubicuas se han convertido en un objetivo importante para los actores de amenazas más sofisticados, incluidas las operaciones de espionaje de los estados nacionales y las empresas mercenarias de software espía que las atienden. Tal como están diseñadas actualmente, muchas aplicaciones de chat se han convertido en un objetivo fácil irresistible", agregaron.

Citizen Lab dijo que encontró el malware nunca antes visto en el teléfono de un activista saudí anónimo, y que la cadena de exploits se activa cuando las víctimas reciben un mensaje de texto que contiene una imagen GIF maliciosa que, en realidad, son Adobe PSD (archivos de documentos de Photoshop ) y archivos PDF diseñados para bloquear el componente iMessage responsable de renderizar imágenes automáticamente e implementar la herramienta de vigilancia.

CVE-2021-30858, por otro lado, es el último de una serie de fallas de día cero de WebKit que Apple ha rectificado solo este año. Con este conjunto de actualizaciones más recientes, la compañía ha parcheado un total de 15 vulnerabilidades de día cero desde principios de 2021.

Se recomienda a los usuarios de Apple iPhone, iPad, Mac y Apple Watch que actualicen inmediatamente su software para mitigar cualquier amenaza potencial que surja de la explotación activa de las fallas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad revelaron el martes detalles sobre una falla de alta gravedad en el software del controlador HP OMEN que afecta a millones de computadoras para juegos en todo el mundo, dejándolas expuestas a una variedad de ataques.

Registradas como CVE-2021-3437 (puntuación CVSS: 7., las vulnerabilidades podrían permitir que los actores de amenazas escalen privilegios al modo kernel sin requerir permisos de administrador, lo que les permite deshabilitar productos de seguridad, sobrescribir componentes del sistema e incluso corromper el sistema operativo.

La firma de ciberseguridad SentinelOne, que descubrió e informó de la deficiencia a HP el 17 de febrero, dijo que no encontró evidencia de explotación en estado salvaje. Desde entonces, la empresa de hardware informático ha publicado una actualización de seguridad para sus clientes para abordar estas vulnerabilidades.

Los problemas en sí tienen su origen en un componente llamado OMEN Command Center que viene preinstalado en las computadoras portátiles y de escritorio de la marca HP OMEN y también se puede descargar de Microsoft Store. El software, además de monitorear la GPU, la CPU y la RAM a través de un tablero de vitals, está diseñado para ayudar a ajustar el tráfico de la red y overclockear la PC para juegos para un rendimiento más rápido de la computadora.

"El problema es que HP OMEN Command Center incluye un controlador que, aunque aparentemente desarrollado por HP, es en realidad una copia parcial de otro controlador lleno de vulnerabilidades conocidas", dijeron los investigadores de SentinelOne en un informe compartido con The Hacker News.

"En las circunstancias adecuadas, un atacante con acceso a la red de una organización también puede obtener acceso para ejecutar código en sistemas sin parches y utilizar estas vulnerabilidades para obtener una elevación local de privilegios. Los atacantes pueden aprovechar otras técnicas para girar a la red más amplia, como lateral movimiento."

El controlador en cuestión es HpPortIox64.sys, que deriva su funcionalidad de WinRing0.sys desarrollado por OpenLibSys , un controlador problemático que surgió como la fuente de un error de escalada de privilegios local en el software EVGA Precision X1 ( CVE-2020-14979 , puntuación CVSS: 7. el año pasado.

"WinRing0 permite a los usuarios leer y escribir en la memoria física arbitraria, leer y modificar los registros específicos del modelo ( MSR ) y leer / escribir en los puertos IO en el host", señalaron investigadores de SpecterOps en agosto de 2020. "Estas características están pensadas por los desarrolladores del controlador. Sin embargo, debido a que un usuario con pocos privilegios puede realizar estas solicitudes, presentan una oportunidad para la escalada local de privilegios ".

El problema principal surge del hecho de que el controlador acepta el control de entrada / salida ( llamadas de IOCTL ) sin aplicar ningún tipo de aplicación de ACL , lo que permite a los malos actores el acceso sin restricciones a las funciones antes mencionadas, incluidas las capacidades para sobrescribir un binario cargado por un proceso privilegiado. y finalmente ejecutar código con privilegios elevados.

"Para reducir la superficie de ataque proporcionada por los controladores de dispositivos con controladores de IOCTL expuestos, los desarrolladores deben aplicar ACL fuertes en los objetos del dispositivo, verificar la entrada del usuario y no exponer una interfaz genérica a las operaciones del modo kernel", dijeron los investigadores.

Los hallazgos marcan la segunda vez que WinRing0.sys aparece bajo la lente de causar problemas de seguridad en los productos HP.

En octubre de 2019, SafeBreach Labs reveló una vulnerabilidad crítica en el software HP Touchpoint Analytics (CVE-2019-6333), que viene incluido con el controlador, lo que permite potencialmente a los actores de amenazas aprovechar el componente para leer la memoria del kernel arbitraria y permitir de manera efectiva una lista de cargas útiles maliciosas a través de un desvío de validación de firma.

Tras la divulgación, la empresa de seguridad de firmware empresarial Eclypsium, como parte de su iniciativa " Controladores atornillados " para compilar un repositorio de controladores inseguros y arrojar luz sobre cómo los atacantes pueden abusar de ellos para obtener el control de los sistemas basados ​​en Windows, se denominó WinRing0.sys. un "destornillador de agujero de gusano por diseño".

El descubrimiento también es el tercero de una serie de vulnerabilidades de seguridad que afectan a los controladores de software y que SentinelOne ha descubierto desde principios de año.

A principios de este mes de mayo, la compañía con sede en Mountain View reveló detalles sobre múltiples vulnerabilidades de escalada de privilegios en el controlador de actualización de firmware de Dell llamado " dbutil_2_3.sys " que no se reveló durante más de 12 años. Luego, en julio, también hizo público una falla de desbordamiento de búfer de alta gravedad que afectaba a " ssport.sys " y se usaba en impresoras HP, Xerox y Samsung que se descubrió que no había sido detectada desde 2005.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Xiaomi ha presentado sus propios lentes inteligentes Xiaomi Smart Glasses, una tecnología concepto que, según explica la compañía, busca integrar todas las funciones de un smartphone en un dispositivo que podemos llevar puesto, como son unos lentes.

Lei Jun, CEO de Xiaomi, se encargó de la revelación en un tuit. Jun explica que los Xiaomi Smart Glasses, a pesar de parecer unos lentes ordinarios, "colocan una pantalla frente a tus ojos para la experiencia visual más inteligente hasta ahora".

Así son los Xiaomi Smart Glasses

En una publicación de su blog oficial, Xiaomi explica más detalles de su nuevo wearable. Los Smart Glasses tienen una pantalla microLED por la cual se mostrará toda la información al usuario, como mensajes, notificaciones, llamadas, entre otras cosas. Además, con un peso de tan solo 51 gramos, integran una amplia variedad de sensores que permitirán al usuario tomar fotos, navegar e incluso traducir texto en tiempo real, según Xiaomi.

De acuerdo con Xiaomi, el uso de la tecnología microLED fue la elección óptima tanto para la calidad de imagen como para el diseño de sus Smart Glasses. Por un lado, sus pixeles se iluminan de manera independiente, lo que permite imágenes más brillantes y negros más profundos, además de que ofrecen una densidad de pixeles mayor y vida útil más larga.

Con un tamaño de apenas 2.4 x 2.02 mm, el chip de display es de apenas el tamaño de un grano de arroz, lo que permitió mantener el diseño de los lentes inteligentes lo más pequeño posible para ofrecer una mejor experiencia de uso. Finalmente, para lograr la óptima visualización de contenido, incluso con intensa luz solar, Xiaomi decidió un display monocromático capaz de alcanzar un brillo máximo de 2 millones de nits.


Junto con el pequeño chip, Xiaomi adoptó la tecnología de guía de ondas ópticas para transmitir de manera segura rayos de luz al ojo humano a través de una estructura de rejilla microscópica. Esto implica el rebote de la luz múltiples veces, pero permite al ojo ver una imagen completa dentro de una sola lente, evitando el uso de sistemas de varios lentes, espejos u otras soluciones más complicadas.

Los Xiaomi Smart Glasses tienen 497 componentes, entre sensores, módulos de comunicación, una cámara de 5 megapixeles, altavoz y micrófono, y por lo tanto no son solo una "pantalla secundaria". De hecho, también integran un procesador ARM de cuatro núcleos, batería, panel táctil, Wi-Fi y Bluetooth, y sistema operativo Android.

Xiaomi asegura que sus lentes son un dispositivo inteligente con total operabilidad e integran todas las funciones de un smartphone, como mostrar notificaciones, realizar llamadas, navegar en un mapa, tomar fotos, y traducción de texto e imágenes en tiempo real.


A pesar de todas las funciones que los Xiaomi Smart Glasses pueden llevar a cabo, la compañía asegura que se ha asegurado que estas "no perturben el uso ordinario sino que muestren información clave de manera oportuna", como solo las notificaciones o llamadas más importantes. Para esto, el método principal de interacción es el asistente virtual XiaoAI, al cual se le puede solicitar la información en el momento que sea adecuado.

Xiaomi ha revelado sus Smart Glasses con una gran cantidad de detalles e información, pero los presenta como "tecnología concepto", sin dar detalles sobre un posible lanzamiento ni mucho menos precio estimado. En contraste, Facebook presentó hace algunos días los Ray-Ban Stories, sus primeros lentes inteligentes desarrollados en conjunto con el legendario fabricante y que saldrán a la venta próximamente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fenómeno de los cables submarinos está centrando las miradas de los gobiernos de Pekín y Moscú. Mientras en 2016 entraron en funcionamiento 15 de estos gigantescos cables bajo el mar, en 2020 el número de nuevos cables casi se duplicó, llegando a los 28. "Un gran crecimiento que muestra cómo estamos dependiendo cada vez más de estas infraestructuras", explica un informe de la organización Atlantic Council.

Los esfuerzos para comprar o influir en las compañías que poseen estos cables es cada vez mayor, apunta el informe. Estos cables submarinos, como el reciente Grace Hopper que ha llegado a Bilbao, son una columna vertebral para el tráfico de internet y también un delicado punto de seguridad.

El 60% de los cables submarino está en manos privadas


Según el informe, el 59% de los cables submarinos está en manos de compañías privadas, mientras que "únicamente" el 20% de estos cables es de propiedad estatal o está gestionado por los gobiernos de los distintos países.

Y es precisamente este porcentaje el que podría cambiar en los próximos años, ya que el interés de las potencias por controlar y gestionar estos cables está aumentando.

Las empresas privadas que gestionan estos cables podrían añadir puertas traseras o permitir que ciertas agencias de espionaje monitoricen el tráfico que corre a través de estos cables submarinos. Un temor que está llevando a los distintos países a poner el foco en estos cables como parte de su estrategia de ciberseguridad, apunta Atlantic Council.


Google es la empresa privada tecnológica que más cables submarinos ha activado en los últimos años, pero también podemos encontrar compañías chinas como China Mobile, China Telecom, China Unicom o Huawei Marine.

Según apunta Justin Sherman, autor del informe, estas compañías chinas han iniciado este año hasta 44 proyectos de cables submarinos. Algunos de ellos más ambiciosos como parte de la Iniciativa de la Franja y la Ruta de China y otros con un foco más local como mejorar la red a través de Hong Kong.

Por parte de Rusia, la compañía estatal Rostelecom ha activado cables para conectar islas periféricas de Rusia con el continente y Europa.

"Es fácil pensar en Internet como algo abstracto debido a la nube y el ciberespacio, pero todavía depende de routers y cables y eso afecta la forma en la que los datos circulan por el mundo. Esto es importante porque si tienes más datos viajando a través de tus cables o de tus país, tienes más oportunidades de espionaje", concluye el informe.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login