Cisco lanzó ayer parches de seguridad para dos vulnerabilidades de alta gravedad que afectan a su software IOS XR y que se encontraron explotadas en la naturaleza hace un mes.

Rastreada como CVE-2020-3566 y CVE-2020-3569 , Cisco hizo públicos los detalles de ambas vulnerabilidades de DoS no autenticadas de día cero a fines del mes pasado cuando la compañía descubrió que los piratas informáticos explotaban activamente el software Cisco IOS XR que está instalado en una variedad de dispositivos de Cisco. enrutadores de centro de datos y de nivel de operador.

Ambas vulnerabilidades DoS residían en la función del Protocolo de enrutamiento de multidifusión de vector de distancia (DVMRP) del software Cisco IOS XR y existían debido a la implementación incorrecta de la administración de colas para los paquetes del Protocolo de administración de grupos de Internet (IGMP) en los dispositivos afectados.

IGMP es un protocolo de comunicación que suelen utilizar los hosts y los enrutadores adyacentes para utilizar de manera eficiente los recursos de las aplicaciones de multidifusión cuando se admite la transmisión de contenido, como la transmisión de video en línea y los juegos.

Citar"Estas vulnerabilidades afectan a cualquier dispositivo Cisco que esté ejecutando cualquier versión del software Cisco IOS XR si una interfaz activa está configurada bajo enrutamiento de multidifusión y está recibiendo tráfico DVMRP", dijo Cisco en un aviso .

"Un administrador puede determinar si el enrutamiento de multidifusión está habilitado en un dispositivo emitiendo el comando show igmp interface".


La explotación exitosa de estas vulnerabilidades podría permitir a los piratas informáticos remotos no autenticados enviar paquetes IGMP especialmente diseñados a los dispositivos afectados para bloquear inmediatamente el proceso IGMP o agotar la memoria del proceso y eventualmente colapsar.

El consumo de memoria puede resultar negativamente en la inestabilidad de otros procesos que se ejecutan en el dispositivo, incluidos los protocolos de enrutamiento para redes internas y externas.

Las vulnerabilidades afectan a todos los dispositivos Cisco que ejecutan cualquier versión del software Cisco IOS XR si una interfaz activa está configurada en enrutamiento de multidifusión y está recibiendo tráfico DVMRP.

En el momento en que Cisco inicialmente hizo públicas estas vulnerabilidades, la compañía proporcionó algunas medidas de mitigación para resolver los problemas y bloquear los intentos de explotación activos, pero ahora finalmente lanzó actualizaciones de mantenimiento de software (SMU) para abordar las vulnerabilidades por completo.

Citar"Aunque no hay soluciones para estas vulnerabilidades, existen múltiples mitigaciones disponibles para los clientes según sus necesidades", dijo la compañía.

"Al considerar las mitigaciones, debe entenderse que para el caso de agotamiento de la memoria, el limitador de velocidad y los métodos de control de acceso son efectivos. Para el caso de caída del proceso IGMP inmediato, solo el método de control de acceso es efectivo".

Se recomienda encarecidamente a los clientes de Cisco que se aseguren de que están ejecutando la última versión del software Cisco IOS XR anterior a 6.6.3 y la versión 6.6.3 del software Cisco IOS XR y posteriores.

Vía: Thehackernews

Microsoft lanzó la actualización acumulativa de vista previa sin seguridad de Windows 10 2004 KB4577063 con correcciones para problemas de conectividad a Internet y del subsistema de Windows para Linux 2 (WSL2).

Microsoft dice que los usuarios de Windows 10 que instalan la actualización no relacionada con la seguridad KB4577063 pueden experimentar problemas con la entrada, recibir resultados inesperados o no poder ingresar texto usando el Editor de métodos de entrada de Microsoft (IME) para los idiomas japonés o chino.

Puede encontrar más información sobre los tipos de actualizaciones que Microsoft lanza cada mes en el  manual de cadencia de mantenimiento de actualizaciones de Windows 10 .

KB4577063 destacados

Con la actualización KB4577063 , Microsoft abordó un problema conocido que afecta a los clientes de Windows 10 desde finales de agosto en el que algunos dispositivos que usan módems WWAN LTE podrían no poder conectarse a Internet  después de salir de la suspensión o la hibernación.

Una suspensión de compatibilidad aplicada por Microsoft para evitar que los sistemas afectados se actualicen a Windows 10 2004 se eliminará a mediados de octubre .

Microsoft también abordó otro problema que impedía a los usuarios iniciar Windows Terminal con WSL2 y arrojar errores de "Elemento no encontrado"  después de instalar la   actualización de seguridad KB4571756 emitida como parte del lanzamiento del martes de parches de agosto de 2020 .

Microsoft afirma que la actualización KB4577063 resuelve los problemas de Windows 10 2004 presentados anteriormente y estos otros que se destacan a continuación:

- Agrega una notificación a Internet Explorer 11 que informa a los usuarios sobre la finalización del soporte para Adobe Flash en diciembre de 2020. Para obtener más información, consulte KB4581051 .
- Actualiza un problema que hace que los juegos que usan audio espacial dejen de funcionar.
- Reduce las distorsiones y aberraciones en las pantallas montadas en la cabeza (HMD) de Windows Mixed Reality.
- Garantiza que los nuevos HMD de Windows Mixed Reality cumplan con los requisitos mínimos de especificación y tengan una frecuencia de actualización predeterminada de 90 Hz.
- Agrega soporte para ciertos nuevos controladores de movimiento de Windows Mixed Reality. Qué ha cambiado en KB4535996

Qué ha cambiado en KB4577063

Con la actualización "Vista previa de actualización acumulativa 2020-09 para Windows 10 versión 2004 ( KB4568831 )", el número de compilación de Windows 10 avanza a 19041.546.

Aquí está la lista completa de mejoras de calidad y correcciones entregadas por esta actualización no relacionada con la seguridad:

- Agrega una notificación a Internet Explorer 11 que informa a los usuarios sobre el fin del soporte para Adobe Flash en diciembre de 2020.
Para obtener más información, consulte KB4581051 .
- Soluciona un problema con el modo Microsoft Edge IE que ocurre cuando habilita Configurar detección mejorada de bloqueo para el modo  Internet Explorer en Microsoft Edge.
- Soluciona un problema que, en algunos casos, impide que aparezca la barra de idioma cuando el usuario inicia sesión en una nueva sesión.
Esto ocurre aunque la barra de idioma esté configurada correctamente.
- Soluciona un problema que no reconoce el primer carácter de idioma de Asia oriental escrito en un DataGrid de Microsoft Foundation Class Library (MFC).
- Soluciona un problema que le impide volver a conectarse a una sesión previamente cerrada porque esa sesión se encuentra en un estado irrecuperable.
- Soluciona un problema que hace que los juegos que usan audio espacial dejen de funcionar.
- Soluciona un problema que evita la eliminación de perfiles de usuario obsoletos cuando configura un objeto de política de grupo (GPO) de limpieza de perfil.
- Se solucionó un problema en el que la selección de Olvidé mi PIN en Configuración> Cuentas> Opciones de inicio de sesión falla en una implementación de Windows Hello para empresas en las instalaciones.
- Actualiza la información de la zona horaria de 2021 para Fiji.
- Soluciona un problema que afecta la capacidad de System Center Operations Manager (SCOM) de Microsoft para monitorear la carga de trabajo de un cliente.
- Soluciona un problema que causa saltos de línea aleatorios cuando redirige la salida de error de la consola PowerShell.
- Soluciona un problema con la creación de informes HTML mediante tracerpt. .
- Permite que DeviceHealthMonitoring Cloud Service Plan (CSP) se ejecute en las ediciones Windows 10 Business y Windows 10 Pro.
- Soluciona un problema que impide que el contenido de HKLM \ Software \ Cryptography se transfiera durante las actualizaciones de funciones de Windows.
- Soluciona un problema que causa una infracción de acceso en lsass.exe cuando se inicia un proceso con el comando runas en algunas circunstancias.
- Soluciona un problema en el que el Control de aplicaciones de Windows Defender aplica reglas de nombre de familia de paquetes que solo deberían ser auditadas.
- Soluciona un problema que muestra un error que indica que el cambio de PIN de una tarjeta inteligente no fue exitoso aunque el cambio de PIN fue exitoso.
- Se solucionó un problema que podía crear objetos de directorio principal de seguridad externa duplicados para usuarios autenticados e interactivos en la partición del dominio. Como resultado, los objetos de directorio originales tienen "CNF" agregado a sus nombres y están alterados. Este problema se produce cuando promociona un nuevo controlador de dominio mediante el indicador CriticalReplicationOnly .
- Actualiza la configuración del reconocimiento facial de Windows Hello para que funcione bien con cámaras de longitud de onda de 940 nm.
- Reduce las distorsiones y aberraciones en las pantallas montadas en la cabeza (HMD) de Windows Mixed Reality.
- Garantiza que los nuevos HMD de Windows Mixed Reality cumplan con los requisitos mínimos de especificación y tengan una frecuencia de actualización predeterminada de 90 Hz.
- Soluciona un problema que causa un error de detención en un host Hyper-V cuando una máquina virtual (VM) emite un comando específico de Interfaz de sistema de computadora pequeña (SCSI).
- Se solucionó un problema que podía provocar que fallaran los intentos de vincular un socket a un socket compartido.
- Soluciona un problema que podría evitar que las aplicaciones se abran o causar otros errores cuando las aplicaciones usan las API de Windows para verificar la conectividad a Internet y el ícono de red muestra incorrectamente "No hay acceso a Internet" en el área de notificación. Este problema ocurre si usa una política de grupo o una configuración de red local para deshabilitar el sondeo activo para el indicador de estado de conectividad de red (NCSI). Esto también ocurre si el sondeo activo no utiliza un proxy y los sondeos pasivos no detectan la conectividad a Internet.
- Soluciona un problema que impide que Microsoft Intune se sincronice en un dispositivo que utiliza el proveedor de servicios de configuración (CSP) de red privada virtual versión 2 (VPNv2).
- Suspende las cargas y descargas de los pares cuando se detecta una conexión VPN.
- Soluciona un problema que impide que las herramientas de administración de Microsoft Internet Information Services (IIS), como el - Administrador de IIS, administren una aplicación You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que haya configurado la configuración de cookies de SameSite en web.config .
- Soluciona un problema con ntdsutil.exe que le impide mover archivos de base de datos de Active Directory. El error es, "Error al mover el archivo con el origen y el destino con el error 5 (Acceso denegado)".
- Soluciona un problema que informa incorrectamente que las sesiones del Protocolo ligero de acceso a directorios (LDAP) no son seguras en el Id. De evento 2889. Esto ocurre cuando la sesión LDAP se autentica y sella con un método de Capa de seguridad y autenticación simple (SASL).
- Soluciona un problema que podría hacer que los dispositivos con Windows 10 que habilitan Credential Guard fallen en las solicitudes de autenticación cuando usan el certificado de la máquina.
- Restaura el atributo construido en Active Directory y Active Directory Lightweight Directory Services (AD LDS) para msDS-parentdistname .
- Se solucionó un problema que provocaba que las consultas contra claves grandes en Ntds.dit fallaran con el error "MAPI_E_NOT_ENOUGH_RESOURCES". Este problema puede hacer que los usuarios vean una disponibilidad limitada de la sala de reuniones porque la Interfaz de programación de aplicaciones de mensajería de Exchange (MAPI) no puede asignar memoria adicional para las solicitudes de reunión.
- Soluciona un problema que genera de forma intermitente eventos de auditoría del Respondedor del Protocolo de estado de certificado en línea (OSCP) (5125) para indicar que se envió una solicitud al Servicio de respuesta OCSP. Sin embargo, no hay ninguna referencia al número de serie o al nombre de dominio (DN) del emisor de la solicitud.
- Soluciona un problema que muestra caracteres extraños antes de los campos de día, mes y año en la salida de los comandos de la consola.
- Soluciona un problema que hace que lsass.exe deje de funcionar, lo que desencadena un reinicio del sistema. Este problema ocurre cuando se envían datos de reinicio no válidos con un control de búsqueda paginado no crítico.
- Soluciona un problema que no registra los eventos 4732 y 4733 para los cambios en la pertenencia al grupo local de dominio en ciertos escenarios. Esto ocurre cuando usa el control "Modificación permisiva"; por ejemplo, los módulos de PowerShell de Active Directory (AD) utilizan este control.
- Se solucionó un problema con el controlador de sistemas de archivos de volúmenes compartidos de Microsoft Cluster (CSVFS) que impide el acceso de la API de Win32 a los datos de flujo de archivos de SQL Server. Esto ocurre cuando los datos se almacenan en un volumen compartido de clúster en una instancia de clúster de conmutación por error de SQL Server, que se encuentra en una máquina virtual de Azure.
- Soluciona un problema que provoca un interbloqueo cuando los archivos sin conexión están habilitados. Como resultado, CscEnpDereferenceEntryInternal mantiene bloqueos principales y secundarios.
- Soluciona un problema que causa que los trabajos de deduplicación fallen con el error de detención 0x50 cuando llama a HsmpRecallFreeCachedExtents () .
Soluciona un problema que hace que las aplicaciones dejen de funcionar cuando usan las API de uso compartido de escritorio remoto de Microsoft. El código de excepción del punto de interrupción es 0x80000003.
Elimina la llamada HTTP a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que realiza el cliente de escritorio remoto ( mstsc.exe ) al cerrar sesión cuando se utiliza una puerta de enlace de escritorio remoto.
- Soluciona un problema con la evaluación del estado de compatibilidad del ecosistema de Windows para ayudar a garantizar la compatibilidad de aplicaciones y dispositivos para todas las actualizaciones de Windows.
- Agrega soporte para ciertos nuevos controladores de movimiento de Windows Mixed Reality.
Soluciona un problema que hace que las aplicaciones que usan Dynamic Data Exchange (DDE) dejen de responder cuando intenta cerrar la aplicación.
- Agrega un token de dispositivo de Azure Active Directory (AAD) que se envía a Windows Update (WU) como parte de cada análisis de WU. WU puede usar este token para consultar la membresía en grupos que tienen un ID de dispositivo AAD.
- Se solucionó un problema con la configuración de la directiva de grupo "Restringir la delegación de credenciales a servidores remotos" con el modo "Restringir la delegación de credenciales" en el cliente de Protocolo de escritorio remoto (RDP). Como resultado, el servicio de Terminal Server intenta usar primero el modo "Requerir protección de credenciales remotas" y solo usará "Requerir administrador restringido" si el servidor no admite "Requerir protección de credenciales remotas".
- Soluciona un problema en el Subsistema de Windows para Linux (WSL) que genera un error de "Elemento no encontrado" cuando intenta iniciar WSL.
- Se solucionó un problema con ciertos módems WWAN LTE que podrían no mostrar conexión a Internet en el área de notificación después de despertarse de la suspensión o la hibernación. Además, es posible que estos módems no puedan conectarse a Internet.

Los usuarios pueden instalar la actualización a través del catálogo de Microsoft  o de Windows Update.

Via: Bleepingcomputer

NVIDIA ha lanzado actualizaciones de seguridad para abordar vulnerabilidades de alta gravedad en el controlador de pantalla de la GPU de Windows que podrían conducir a la ejecución de código, escalada de privilegios, divulgación de información y denegación de servicio.

Todos los errores del controlador de pantalla de la GPU corregidos por NVIDIA este mes requieren acceso de usuario local, lo que significa que los atacantes deberán primero afianzarse en los sistemas para aprovechar estas vulnerabilidades.

Una vez que se logra, podrían aprovecharlas instalando herramientas maliciosas de forma remota o ejecutando código diseñado para abordar uno de los problemas solucionados en dispositivos que ejecutan controladores de GPU NVIDIA sin parches.

Las actualizaciones de seguridad también corrigen fallas de alta gravedad en NVIDIA Virtual GPU Manager que pueden conducir a la denegación de servicio, la ejecución de código y la divulgación de información cuando se explotan con éxito.

Problemas de seguridad del controlador de Windows

Los problemas del controlador de pantalla de la GPU afectan a las máquinas con Windows y vienen con puntajes base CVSS V3 que van de 4.4 a 7.8, mientras que los errores de la GPU de NVIDIA tienen calificaciones de gravedad entre 5.5 y 8.8.

Al abusar de estas vulnerabilidades, los atacantes pueden escalar sus privilegios sin necesidad de la interacción del usuario para obtener permisos superiores a los que inicialmente les otorgaron los sistemas comprometidos.

Cuando se explotan con éxito, estas vulnerabilidades también podrían permitirles ejecutar código malicioso, inutilizar temporalmente las máquinas sin parche al desencadenar estados de denegación de servicio o acceder a información confidencial.

Los problemas de seguridad solucionados por NVIDIA como parte de las actualizaciones de seguridad de septiembre de 2020 se enumeran en la tabla incluida a continuación, con descripciones completas y sus respectivos puntajes base CVSS V3.


NVIDIA dice que "la evaluación de riesgos se basa en un promedio de riesgo en un conjunto diverso de sistemas instalados y puede que no represente el verdadero riesgo de su instalación local" y recomienda consultar a un profesional para evaluar con precisión el riesgo de la configuración específica de su sistema.

Jo Hemmerlein de Microsoft informó de la falla de alta gravedad CVE ‑ 2020‑5979, Andy Gill de Pen Test Partners LLP informó CVE ‑ 2020‑5980, mientras que Piotr Bania de Cisco Talos informó sobre CVE ‑ 2020‑5981 .

Versiones del controlador de la GPU NVIDIA afectadas

La lista completa de controladores y versiones de software afectadas por estas vulnerabilidades se puede encontrar en NVIDIA GPU Display Driver - Boletín de seguridad de septiembre de 2020.

NVIDIA insta a los clientes a actualizar sus controladores de pantalla de GPU GeForce, Quadro, NVS y Tesla, así como el administrador de GPU virtual y el software del controlador invitado mediante la aplicación de actualizaciones de seguridad disponibles a través de las descargas de controladores de NVIDIA. página de .

La compañía dice que algunos usuarios pueden recibir las versiones 456.41, 452.11 y 446.29 de los controladores de pantalla de la GPU de Windows de sus proveedores de hardware informático, que también incluyen las actualizaciones de seguridad publicadas hoy.

Para encontrar la versión del controlador de pantalla de su GPU NVIDIA, puede seguir el procedimiento que se detalla You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login .


Los usuarios empresariales deben iniciar sesión en NVIDIA Enterprise Application Hub para obtener las actualizaciones del software NVIDIA vGPU a través del Centro de licencias de NVIDIA.

Vía: Bleepingcomputer

Una de las grandes noticias del año en cuanto a sistemas operativos ha sido la filtración masiva (en manos de atacantes ya llevaba un buen tiempo) del código fuente de Windows XP y otros sistemas grandes como Windows Server 2003. Aunque Microsoft aún no se ha pronunciado sobre la veracidad del código, los investigadores afirman que parece real, y quienes han indagado en él ya han encontrado joyas como un tema visual que simulaba la estética de 'Aqua', lo que le hacía parecerse al viejo Mac OS X.

Una pregunta que algunos desarrolladores se hicieron el día que se conoció la publicación del código fuente fue ¿puede compilarse Windows XP a partir de él? La respuesta es sí, como ha demostrado en vídeo el desarrollador NTDEV con la versión Service Pack 1.

Windows XP compilado desde el propio Windows XP

El proceso mostrado se ha hecho en Windows XP, y lleva aproximadamente tres horas desde 'Símbolo del sistema'. En los comentarios de YouTube, NTDEV menciona que con el hardware de la época, compilar Windows XP podía llevar entre 12 y 13 horas. Al acabar el proceso, muestra todos los archivos generados, pudiendo ejecutar algunos programas como Winver, que muestra la versión de Windows que corresponde a los ficheros. En este caso, se trata de Windows Version 5.1, licenciado a nombre de NTDEV.


El desarrollador cuenta en la descripción del vídeo que, si bien ha podido compilar todo el código sin problemas, aún no ha podido generar una imagen .ISO para compartirlo e instalarlo. NTDEV también ha compartido en Twitter todo el proceso por el que ha pasado para compilar Windows Server 2003, que era más complicado y pesado al ser una versión posterior (Windows Version 5.2).

En este caso sí ha hablado de haber conseguido generar el archivo ISO, y ha mostrado los pasos de la instalación, que son muy parecidos a los de Windows XP y me han generado nostalgia por todas las veces que instalé el viejo sistema en su día. El tuitero @jerrykuch, que asegura ser o haber sido antiguo empleado de Microsoft con acceso al código, afirma que no hay que minusvalorar el logro, pues en su día era "difícil" compilarlo incluso con acceso.

Vía: Genbeta

Hace un año que se venía especulando con la idea de que Microsoft iba a implementar la emulación x64 en la versión de Windows 10 para dispositivos ARM (como Surface Pro X). Pero ahora ya no tiene nada de especulación: es una noticia confirmada por la compañía.

Actualmente, Windows para ARM puede ejecutar tres tipos de binarios: aplicaciones ARM nativas de 32 bits, aplicaciones ARM nativas de 64 bits y aplicaciones x86 (Intel 32 bits) emuladas.

El funcionamiento de estas últimas queda lejos del que las mismas aplicaciones tendrían en un sistema operativo Intel, y el problema se agravará cuando añadan las aplicaciones x64 emuladas a la lista, pero los usuarios saldrán ganando con el repentino aumento de su catálogo de software disponible.

Un paso necesario para Microsoft

El paso dado por Microsoft era ya urgente, pues muchas aplicaciones populares no compiladas para ARM habían dejado de lanzar versiones para 32 bits (este sería el caso, por ejemplo, de la Creative Suite de Adobe).

Además, quedarse atrás en la apuesta por los dispositivos ARM, en la que Microsoft había tomado la delantera, podría ser peligroso para esta compañía ahora que Apple ha puesto toda la carne en el asador con esta arquitectura.

Según el anuncio de Microsoft, la emulación x64 llegará a los equipos participantes en Windows Inside en noviembre, mientras que el resto de usuarios no tendrán acceso a la misma hasta el año que viene.

Otras novedades relativas a Windows en ARM anunciadas por Microsoft han sido el lanzamiento inminente de un cliente de Microsoft Teams nativo para ARM, y una nueva actualización de Visual Studio Code optimizada para su ejecución en dispositivos ARM.

Vía: Genbeta

Este ordenador portátil es muy innovador. Tanto como para iniciar por sí solo una nueva categoría de equipos, y todo se lo debe a su pantalla OLED flexible. Gracias a ella podemos utilizarlo como un portátil tradicional, pero también como un tablet. O como un e-book. O como un monitor. Sus posibilidades son, sobre el papel, muy amplias.

No cabe duda de que poner a punto una propuesta como esta debe haber obligado a los ingenieros de Lenovo a agudizar su ingenio al máximo porque, además del reto que representa el diseño de la bisagra, es necesario contar con una interfaz que sea capaz de resolver correctamente todos los escenarios de uso en los que este equipo pretende ser utilizado. Sin duda, merece la pena que le echemos un vistazo con más detalle.

Lenovo ThinkPad X1 Fold: especificaciones técnicas

En la pantalla OLED flexible que incorpora este equipo indagaremos con cierta profundidad en la siguiente sección del artículo, por lo que ahora nos fijaremos en sus otras características, que también son interesantes. La CPU por la que se ha decantado Lenovo es un chip Intel Core con tecnología híbrida, un procesador que se caracteriza por tener un empaquetado un 56% más compacto que el utilizado por los chips tradicionales de Intel para ordenadores portátiles.

La CPU de este equipo es un chip Intel Core con tecnología híbrida, un procesador que se caracteriza por tener un empaquetado un 56% más compacto

La memoria principal en la que se apoya son 8 GB LPDDR4x a una frecuencia de reloj de 4.267 MHz, y la lógica gráfica es la Intel UHD de 11ª generación integrada en el procesador Intel Core con tecnología híbrida. Por otro lado, para resolver el almacenamiento secundario Lenovo ha apostado por una unidad de estado sólido con una capacidad de 1 TB e interfaz NVMe M.2.


En un equipo con una vocación tan polivalente como la de este ThinkPad X1 Fold es importante cuidar el sonido, y Lenovo parece haberlo hecho porque es capaz de procesar audio Dolby Atmos. Por último, en lo que se refiere a la conectividad incorpora WiFi 6, 5G y Bluetooth 5.1, lo que refleja que la marca china ha mimado las prestaciones de esta propuesta en este terreno para hacer posible una conectividad con un rendimiento importante en cualquier escenario de uso.


Su pantalla OLED plegable da inicio a una nueva categoría de portátiles

La pantalla OLED es el auténtico corazón de este equipo. No solo se desmarca por recurrir a un panel orgánico, sino también por su relación de aspecto 4:3, un formato que, según Lenovo, mejora la experiencia de uso en algunos escenarios, como son la navegación en Internet o la creación de contenidos. Además, este panel orgánico consigue entregar 300 nits de brillo y cubre el 95% del espacio de color DCI-P3, una cifra que no está nada mal.


La interfaz de este ThinkPad X1 Fold se adapta al formato en el que lo utilizamos en un instante determinado, por lo que no será la misma cuando lo combinemos con el lápiz óptico, con el teclado en pantalla o con un teclado físico. Esperamos tener la oportunidad de probarlo a fondo para comprobar con qué eficacia resuelve la interfaz de Windows 10 Pro estos escenarios de uso tan variados.


Al igual que en los smartphones que incorporan una pantalla OLED flexible, uno de los componentes más importantes de este equipo es la bisagra que nos permite plegarlo y desplegarlo para adaptarlo a nuestras necesidades en un instante determinado. De ella depende en cierta medida la fiabilidad y la vida útil del equipo. Cuando está plegado este ordenador portátil mide solo 158,2 x 236 x 27,8 mm.


Lenovo ThinkPad X1 Fold: precio y disponibilidad


Lenovo ha confirmado que este original equipo ya se puede comprar para recibirlo en pocas semanas, y está disponible a partir de 3.999 euros (4.199 euros con el módulo 5G).

Vía: Xataka

"La pesadilla por la seguridad de la internet de las cosas nos acecha"

La vida útil media de un frigorífico es de 17 años. ¿Cuánto tiempo crees que el fabricante soportará con actualizaciones sus modelos? Estamos rodeados de electrodomésticos que cada vez integran más tecnología y se integran en la internet de las cosas, pero muchos de ellos no están preparados para enfrentarse a las amenazas que plantea una vida de producto tan larga.

El ejemplo perfecto lo hemos visto estos días con unas viejas cafeteras del fabricante Smarter. Que no os engañe ese nombre, porque sus productos han estado plagados de problemas de seguridad desde hace tiempo y esta empresa ni siquiera advierte de que sus viejas cafeteras siguen siendo vulnerables a ciberataques alucinantes que consiguen que minen Monero (aunque a velocidad de tortuga) y que permiten controlar todas las funciones para convertir esa cafetera en una máquina "poseída" por el ransomware.

Una cafetera demoníaca, o casi

Como señalan en Ars Technica, Smarter ya tuvo problemas en 2015 con algunos de sus modelos de cafeteras y hervidoras de agua. Lograron corregir esos problemas en sus nuevos modelos, pero nunca lo registraron con un CVE (Common Vulnerabilities and Exposures) de sus anteriores problemas con aquellos modelos que siguen funcionando hoy en día en muchos hogares.


Martin Hron, un experto en ciberseguridad que trabaja para Avast quiso demostrar el peligro de esos electrodomésticos que duran una eternidad y que nadie parchea. Aprovechó una de las viejas cafeteras para tratar de exponer el problema y comenzó a descubrir la espiral de descuidos que cometía el fabricante.

Por ejemplo, para su puesta en marcha la cafetera se conecta a un punto de acceso WiFi con una conexión no segura y luego detectó que las actualizaciones de firmware también se reciben a través del teléfono y de una conexión sin cifrado, sin autenticación y sin firma de código. Eso le permitió modificar el firmware tras abrir la cafetera y detectar cuál era la CPU que lo gobernaba todo para adaptarlo a ese chip.


El resultado: control absoluto de la cafetar, que incluso pudo reprogramar para que minase la criptodivisa Monero. La velocidad de la CPU (8 MHz) era ridícula para este propósito, pero era solo un ejemplo de todo lo que podía hacer con una cafetera que con un simple comando básicamente se volvía "loca" y que solo era posible parar desenchufándola de la corriente.

Citar"Es cierto que puedes usarlos incluso si no reciben más actualizaciones, pero con el ritmo de la explosión de la IoT y la mala actitud en relación al soporte, estamos creando un ejército de dispositivos vulnerables y abandonados que pueden ser mal utilizados para fines nefastos como violaciones de la red, fugas de datos, ataques de rescate y DDoS".
Dijo:Martin Hron

Como explicaba el propio Hron, esa larga vida de los electrodomésticos es un problema enorme para la internet de las cosas y esos dispositivos que duran muchos años en casa y que ya forman parte de estos sistemas.

Vía: Xataka

Una de las noticias de la semana ha sido la supuesta filtración del código fuente de Windows XP en 4chan. Tras su publicación, el código se ha propagado vía torrent y páginas de descarga directa, lo que ha hecho que los investigadores lo den por bueno y consideren que se trata del código fuente real de uno de los sistemas más exitosos de la historia de la informática y Microsoft.

Como se esperaba, han comenzado a indagar en el código, y ya ha llegado el primer hallazgo interesante. En The Verge han publicado imágenes de un tema estético para Windows XP llamado 'Candy' que recuerda enormemente al tema 'Aqua' que durante años fue uno de los grandes elementos diferenciadores del por entonces sistema llamado Mac OS X.


Además de ser uno de los elementos fundacionales de la transición de Classic a la nueva era, Aqua marcó la tendencia de muchas aplicaciones durante años, y se consideró un diseño superior a los presentes en otros sistemas.

Un tema que en Windows XP nunca vio la luz


El hallazgo con el tema 'Candy' es muy interesante, pero por desgracia nunca lo vimos en una versión comercial, al estar marcado para uso interno. Así, Windows se lanzó con tres temas. Bajo el nombre de 'Estilo de Windows XP' y conocido como 'Luna', el sistema llegaba con el tema 'Predeterminado', 'Verde olivo' y 'Plateado', y en todos ellos 'Bliss era el fondo de escritorio'. También se podía usar el tema 'Estilo clásico de Windows', que recordaba a lo iniciado por Windows 95 y continuado por Windows 98, 2000 y Me.

En este tema 'Candy' filtrado, podemos ver botones con sombras y tonos azulados como los de Aqua, pero también botones y barras de desplazamiento prácticamente calcadas a las que usaba Apple. Incluso el icónico botón verde de inicio de Windows XP tiene aquí una estética metalizada, y al ser pulsado se colorea en azul. Otras partes del sistema tienen menos incidencia del tema.

Las ventanas en primer plano también tienen un azul menos vivo que el del tema predeterminado, y presentan unas líneas horizontales poco visibles que recuerdan a las que se podían ver en Mac OS X hasta 10.4 Tiger. Ahora solamente queda esperar con atención a qué otros secretos de Windows XP se van desvelando.

Vía: Genbeta

Como ellos mismos se encargan de recordar en cada lanzamiento de punto, no es una gran noticia, pero es noticia. No es una gran noticia porque lo que llegó el sábado 26 de septiembre es Debian 10.6, la sexta actualización de mantenimiento del Buster que fue lanzado por primera vez en julio de 2019. Y es noticia porque no estamos hablando de una distribución normal, sino de una tan importante que es la que eligió (entre otros) Ubuntu como base, en quien a su vez se basan decenas o cientos de otras distribuciones.

Debian 10.6 ha llegado poco más de un mes después de una versión anterior que aterrizó, sobre todo, para corregir fallos de seguridad, como las vulnerabilidades descubiertas en GRUB2. Entre las novedades más destacadas, no podemos mencionar muchas, pero sí que también han aprovechado para corregir muchos fallos de seguridad, entre los que tenemos parches para OpenJDK, Firefox (ESR), Thunderbird, Nginx, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Server, BIND9, Squid, Ghostscript y muchos otros paquetes.

Debian 10.6: paquetes actualizados y poco más

Debian 10.6 sigue usando Linux 4.19 como kernel, pero una versión más avanzada de la serie que incluye parches de seguridad y mejoras de rendimiento. Es por cosas como estas que decíamos que no era una gran noticia: prácticamente, han lanzado una nueva ISO para actualizar componentes, tanto del sistema como del software que incluye, pero ninguna novedad realmente destacada, ni siquiera un fallo de seguridad digno de mención como los del GRUB2 de la v10.5.

Los usuarios existentes pueden actualizar a Debian 10.6 desde el mismo sistema operativo. Los que quieran hacer una instalación de cero, pueden descargar la sexta actualización de mantenimiento de Buster desde You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Accediendo a cualquiera de los «mirrors», podemos ver que también siguen ofreciendo Debian 8.11, Debian 9.13 y versiones de prueba de Bullseye, el Debian 11 que actualmente se encuentra en desarrollo y sigue sin tener fecha de lanzamiento programada.

Vía: linuxadictos

Hace poco los desarrolladores de Mozilla WebThings, una plataforma para dispositivos IoT (plataforma de la cual ya en mas de una ocasión hemos hablado y anunciado liberaciones de nuevas versiones aquí en el blog), han anunciado su separación de Mozilla y se han convertido en un proyecto de código abierto independiente.

Con el anuncio de la separación la plataforma también ha sido renombrada simplemente a WebThings en lugar de Mozilla WebThings y se distribuye a través del nuevo sitio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

El motivo de la acción fue reducir la inversión directa de Mozilla en el proyecto y transferir el trabajo relacionado con la comunidad. El proyecto permanecerá a flote, pero ahora será independiente de Mozilla, no podrá utilizar la infraestructura de Mozilla y perderá el derecho a utilizar las marcas registradas de Mozilla.

Estos cambios no afectarán el trabajo de las puertas de enlace domésticas ya implementadas y administradas localmente basadas en WebThings, que son autosuficientes y no están vinculadas a servicios en la nube o infraestructura externa.

Sin embargo, las actualizaciones ahora se distribuirán a través de una infraestructura respaldada por la comunidad en lugar de Mozilla, lo que requiere un cambio de configuración.

El servicio para organizar túneles a puertas de enlace domésticas utilizando los subdominios * .mozilla-iot.org seguirá funcionando hasta el 31 de diciembre de 2020. Previo a la terminación del servicio, está previsto poner en funcionamiento un reemplazo basado en el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que requerirá un nuevo registro.

Como recordatorio, el marco WebThings consta de WebThings Gateway y la biblioteca del marco WebThings.

El código del proyecto está escrito en JavaScript utilizando la plataforma del servidor Node.js y se distribuye bajo la licencia MPL 2.0. Sobre la base de OpenWrt, se está desarrollando un kit de distribución listo para usar con soporte integrado para WebThings Gateway, que proporciona una interfaz unificada para configurar una casa inteligente y un punto de acceso inalámbrico.

WebThings Gateway es una capa universal para organizar el acceso a diversas categorías de consumidores y dispositivos IoT, ocultando las peculiaridades de cada plataforma y no requiriendo el uso de aplicaciones específicas de cada fabricante.

Para interactuar con la pasarela con plataformas IoT, puede utilizar los protocolos ZigBee y ZWave, WiFi o conexión directa a través de GPIO. La puerta de enlace se puede instalar en una placa Raspberry Pi y obtener un sistema de control doméstico inteligente que combina todos los dispositivos IoT de la casa y proporciona herramientas para monitorearlos y controlarlos a través de una interfaz web.

La plataforma también permite crear aplicaciones web adicionales que pueden interactuar con dispositivos a través de Web Thing API. Por lo tanto, en lugar de instalar su propia aplicación móvil para cada tipo de dispositivo IoT, puede utilizar una única interfaz web unificada.

Para instalar WebThings Gateway, todo lo que tiene que hacer es descargar el firmware provisto a una tarjeta SD, abrir el host «gateway.local» en el navegador, configurar una conexión a WiFi, ZigBee o ZWave, encontrar dispositivos IoT existentes, configurar parámetros para acceso externo y agregar los dispositivos más populares a su hogar pantalla.

La puerta de enlace admite funciones tales como identificar dispositivos en la red local, seleccionar una dirección web para conectarse a dispositivos desde Internet, crear cuentas para acceder a la interfaz web de la puerta de enlace, conectar dispositivos que admiten los protocolos patentados ZigBee y Z-Wave a la puerta de enlace, activación remota y apagado de dispositivos desde la aplicación web, monitorización remota del estado de la vivienda y videovigilancia.

WebThings Framework proporciona un conjunto de componentes reemplazables para construir dispositivos de IoT que pueden interactuar directamente usando la API de Web Things. Dichos dispositivos pueden ser detectados automáticamente por pasarelas basadas en WebThings Gateway o software de cliente (usando mDNS) para monitoreo y control posterior a través de la Web. Las implementaciones de servidor para la API de Web Things se preparan en forma de bibliotecas en Python, Java, Rust, Arduino y MicroPython.

Vía:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Singapur será el primer país del mundo en usar la verificación facial como sustituta de su carné de identidad o pasaporte

Las tecnologías de reconocimiento y verificación facial han acabado convirtiéndose en parte integral de nuestra vida, pero nunca antes habían sido planteadas como mecanismo de identificación oficial en los organismos de gobierno de un país.

Singapur será el primero en hacer uso de la verificación facial para sus ciudadanos, algo que supone todo un salto de fé en una tecnología que ha planteado dudas en el pasado y que ahora quiere servir como sustituto de documentos como el carnet de identidad o el pasaporte.

La verificación facial requiere consentimiento y conocimiento del sujeto
El gobierno del país afirma que la adopción de la verificación facial será "fundamental" para la economía digital del país. Se había estado probando este tipo de sistema en uno de los bancos del país, DBS, que permitía abrir cuentas a los usuarios a través de un sistema de verificación facial, pero ahora su implantación quiere ir mucho más allá.


Los responsables de iProov, la empresa del Reino Unido que ofrecerá la tecnología necesaria para poner en marcha en el país, destacaban la diferencia entre reconocimiento facial y verificación facial con dos escenarios muy distintos:

Escenario 1: caminas por Times Square o estás sentado en tu asiento del estadio de Wembley. La tecnología de reconocimiento facial, combinada con un circuito cerrado de cámaras (CCTV) escanea a la multitud y compara caras con las de una base de datos de sospechosos de crímenes. No sabes ni cuándo ni si se está efectuando ese proceso. No tienes opción de deshabilitarlo o no participar. No hay un beneficio personal directo de ese proceso. No sabes cómo se usan, comparten o almacenan las imágenes.

Escenario 2: estás en casa. Quieres sacarte un visado para unas vacaciones en el extranjero. Abres tu portátil y te registras en el servicio de visados de ese país. Usas la cámara para escanear tu carnet de identidad o pasaporte para demostrar tu identidad. Luego escaneas tu cara. La tecnología de verificación facial confirma que tu cara es la que aparece en el documento de identidad, y que eres real y estás solicitando el visado en ese momento. Sabes que el proceso se está haciendo, has elegido hacerlo, hay un beneficio personal y teóricamente sabes (al menos en el caso de iProov, señalan) que las imágenes se mantienen en privado, sujetas a la regulación GDPR.

Para Andrew Bud, fundador y presidente de iProov, esta será la primera vez que "un sistema de verificación facial en la nube se usa para garantizar la identidad de la gente que está usando un esquema de identidad digital nacional". Para él el reconocimiento facial "tiene todo tipo de implicaciones", pero "la verificación facial es extremadamente benigna".

Otros, como señala la BBC, no están tan seguros. Ioannis Kouvakas, abogado en Privacy International, asegura que "dar el consentimiento no funciona cuando hay un desequilibrio de poder entre quienes lo controlan y los sujetos de los datos, como ocurre con las relaciones entre ciudadanos y estado".

En Singapur parece que no osbtante están convencidos de la validez de una tecnología que ya hemos visto aplicada a los smartphones por ejemplo a la hora de pagar en los iPhone con FaceID. Para Kowk Quek Sin, responsable del proyecto en GovTech Singapur, no habrá restricciones sobre cómo se usa la verificación facial "en tanto en cuanto cumpla con nuestros requisitos".

Esos requisitos son que la verificación facial "se haga con el consentimiento y el conocimiento de la persona" que lo haga, explicaba este directivo, que asegura además que será mejor para la privacidad porque las empresas que lo usen no recolectarán datos biométricos: solo verán una puntuación que indica lo cerca que el escaneo está de la imagen que el gobierno tiene de esa persona (y que ya tenía al gestionar los documentos de identidad tradicionales).

Vía: BBC

Estados Unidos sigue estrechando el círculo alrededor de la industria tecnológica china. En un nuevo movimiento del Departamento de Comercio, se ha considerado como un "riesgo inaceptable" por su posible "uso final militar" la tecnología de SMIC, el mayor proveedor de semiconductores de china, según describe Reuters. Unas nuevas sanciones que golpean a un protagonista clave en el plan del gobierno chino de poder crear una industria de chips sólida e independiente de los EE.UU.

Según datos de la CNBC, únicamente el 16% de los chips utilizados en China son producidos por ellos mismos. Muy lejos del objetivo del 70% que habían establecido para 2025. Un nuevo bloqueo de los EE.UU que va incluso más allá del de Huawei, pues afecta no solo a la producción de procesadores comerciales, sino al propio desarrollo de los semiconductores.

Cortando las alas al gran fabricante de chips chino

Aquellas empresas que trabajen con la 'Semiconductor Manufacturing International Corporation' (SMIC) necesitarán una licencia para exportar sus productos. Previamente, SMIC ya se vio afectado por el bloqueo a Huawei, su mayor cliente y responsable del 20% de sus ingresos.

El chipset Kirin 710 fue el primer procesador móvil de Huawei diseñado, fabricado y testeado íntegramente en China, gracias a SMIC. Pero no es la única gran empresa en verse afectada. Otro de los fabricantes más afectados por la medida será Qualcomm, estadounidense, quien aprovecha los semiconductores de SMIC para fabricar algunos de sus procesadores.

SMIC es el mayor fabricante de chips de China y en él estaban depositadas muchas esperanzas. A principios de este 2020, la fundición china esperaba captar hasta 6.700 millones de euros en su salida a bolsa de Shanghái. El pasado agosto, SMIC anunciaba su asociación con el Comité de Gestión del Área de Desarrollo Económico y Tecnológico de Beijing (BDAC) para fabricar obleas de 12 nanómetros y ayudar al resto de fabricantes chinos a sobrellevar las restricciones de los EE.UU. Para ello contaban con una inversión de 7.600 millones de dólares.


El objetivo del Departamento de Comercio de los EE.UU es aislar a SMIC de la tecnología estadounidense, necesaria en muchos casos para el desarrollo de su tecnología. Es el caso de Lam Research, con quien SMIC mantiene gran parte de equipo y que como resultado las acciones han comenzado a bajar nada más conocerse la decisión. Estados Unidos es el país con más proveedores de SMIC, según SCMP.

Pero la influencia de los EE.UU quiere ir más allá. Son conscientes que el resto del mundo comercia con China y durante los últimos meses han estado presionando para evitar posibles acuerdos que beneficiasen la industria tecnológica china. El gran ejemplo es la empresa holandesa ASML, principal proveedor mundial de máquinas de fotolitografía.

La intención era licenciar su tecnología de litrografía ultravioleta extrema (EUV) a China para fabricar semiconductores, pero el Secretario de Estado Mike Pompeo intercedió para convencer a Holanda de no vender esa tecnología, según describe Bloomberg.

Sin acceso a los proveedores estadounidenses, China lo tendrá difícil para estar en primera línea


Desde SMIC reiteran que la empresa "fabrica semiconductores únicamente para usuarios finales y usos finales civiles y comerciales. La compañía no tiene ninguna relación con el ejército chino y no fabrica para ningún usuario final o usos finales militares".

SMIC también informa que no ha sido notificada del bloqueo comercial. Pese a ello, las acciones de SMIC en la bolsa de Shanghái caen más de un 6%.

La industria china ve como EE.UU ataca de nuevo con restricciones a SMIC, el gran fabricante de semiconductores chino y rival de empresas como TSMC y Samsung Electronics. También factorías asiáticas, pero de origen taiwanés y surcoreano respectivamente.

El bloqueo de EE.UU ampliará todavía más la enorme diferencia que existe entre TSMC o Samsung y SMIC, la gran alternativa china en la fabricación de semiconductores que hasta 2021 no tiene previsto iniciar su producción de semiconductores de 7 nanómetros.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Linux Foundation tiene varias certificaciones sobre administración de Linux equivalentes a otras como las que ofrece LPI o CompTIA, y también algunas extra similares a otras para algunos sistemas de la nube. De esa forma, muchos de los que quieran realizar el examen y obtener una certificación valorada en la industria, podrán hacerlo a distancia. Ahora, a toda la lista hay que agregar una nueva certificación llamada LFCA.

LFCA es una entry-level, es decir, a un nivel más bajo que otras de las que tiene, pero que permite mostrar tus conocimientos en tecnología TI. Las siglas hacen referencia a Linux Foundation Certified IT Associate.

Algunos desarrolladores o técnicos conocidos no necesitan certificaciones para comenzar a trabajar, pero el resto de mortales necesitan de ellas para poder acceder a ciertos puestos de trabajo. Así que si estás pensando en conseguir un nuevo empleo o ascender dentro de la empresa en la que estás ahora, puedes beneficiarte de LFCA y otras certificaciones de la fundación.

En esta ocasión contarán con la colaboración de la startup Certiverse, con la que están trabajando para hacer realidad esta certificación LFCA. Con ella podrás demostrar tus conocimientos y habilidades sobre tecnología moderna de la información de forma fundamental. S centrará especialmente en Linux, la administración de sistemas y la computación en la nube.

Para que eso sea posible, constará de unos porcentajes de competencias y dominios que pasan por:

- 20% de conocimientos fundamentales sobre GNU/Linux.
- 20% sobre fundamentos de administración de sistemas.
- 20% de fundamentos de computación en la nube.
- 16% de fundamentos de seguridad informática.
- 16% de conceptos básicos de DevOps.
- 8% de aplicaciones de soporte y desarrollo.

Así será LFCA, que se agregará a la lista de las ya existentes, como LFCS, LFCE, etc. Además, debes saber que para prepararte para este examen, la Linux Foundation recomendará algunos cursos MOOC para la formación, como los de edX. Por el momento, es lo que se ha revelado, pero cuando existan más novedades os las contaremos.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un servidor back-end asociado con Microsoft Bing expuso datos confidenciales de los usuarios de aplicaciones móviles del motor de búsqueda, incluidas consultas de búsqueda, detalles del dispositivo y coordenadas GPS, entre otros.

Sin embargo, la base de datos de registro no incluye ningún dato personal, como nombres o direcciones.

La filtración de datos, descubierta por Ata Hakcil de  WizCase  el 12 de septiembre, es un caché masivo de archivos de registro de 6.5TB que se dejó para que cualquiera pudiera acceder sin contraseña, lo que potencialmente permite a los ciberdelincuentes aprovechar la información para llevar a cabo estafas de extorsión y phishing.

Según WizCase, se cree que el servidor Elastic estuvo protegido con contraseña hasta el 10 de septiembre, después de lo cual la autenticación parece haber sido eliminada inadvertidamente.

Después de que los hallazgos se divulgaran de forma privada al Centro de respuesta de seguridad de Microsoft, el fabricante de Windows abordó la configuración incorrecta el 16 de septiembre.

Los servidores mal configurados han sido una fuente constante  de filtraciones de datos  en los últimos años, lo que ha dado lugar a la exposición de direcciones de correo electrónico, contraseñas, números de teléfono y mensajes privados.

"Basado en la gran cantidad de datos, es seguro especular que cualquiera que haya hecho una búsqueda en Bing con la aplicación móvil mientras el servidor ha estado expuesto está en riesgo", dijo Chase Williams de WizCase en una publicación del lunes. "Vimos registros de personas que realizaron búsquedas en más de 70 países".

Algunos de los términos de búsqueda incluían depredadores que buscaban pornografía infantil y los sitios web que visitaron después de la búsqueda, así como "consultas relacionadas con armas e interés en tiroteos, con historiales de búsqueda que incluían la compra de armas y términos de búsqueda como" matar a los comunistas ". '"

Además de los detalles del dispositivo y la ubicación, los datos también consistían en la hora exacta en que se realizó la búsqueda utilizando la aplicación móvil, una lista parcial de las URL que los usuarios visitaron a partir de los resultados de la búsqueda y tres identificadores únicos, como ADID (un ID numérico asignado por Microsoft Advertising a un anuncio), "deviceID" y "devicehash".

Aunque el servidor con fugas no reveló nombres ni otra información personal, WizCase advirtió que los datos podrían explotarse para otros propósitos nefastos, además de exponer a los usuarios a ataques físicos al permitir que los delincuentes triangularan su paradero.

Citar"Ya sea en busca de contenido para adultos, engañar a una pareja, opiniones políticas extremas o cientos de cosas vergonzosas que la gente busca en Bing", dijo la compañía.

"Una vez que el pirata informático tiene la consulta de búsqueda, podría ser posible averiguar la identidad de la persona gracias a todos los detalles disponibles en el servidor, lo que la convierte en un blanco fácil de chantaje".

Además, el servidor también sufrió lo que se llama un " ataque de miau " al menos dos veces, un  ciberataque automatizado  que ha borrado datos de más de 14.000 instancias de bases de datos no seguras desde julio sin explicación.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Alguna vez se preguntó cómo los piratas informáticos pueden piratear su teléfono inteligente de forma remota?
En un informe compartido con The Hacker News hoy, los investigadores de Check Point revelaron detalles sobre una  vulnerabilidad crítica  en la aplicación de Android de Instagram que podría haber permitido a atacantes remotos tomar el control de un dispositivo objetivo con solo enviar a las víctimas una imagen especialmente diseñada.

Lo que es más preocupante es que la falla no solo permite a los atacantes realizar acciones en nombre del usuario dentro de la aplicación de Instagram, incluido espiar los mensajes privados de la víctima e incluso eliminar o publicar fotos de sus cuentas, sino que también ejecuta código arbitrario en el dispositivo.

Según un  aviso  publicado por Facebook, el problema de seguridad de desbordamiento del montón ( registrado como CVE-2020-1895 , puntuación CVSS: 7.8 ) afecta a todas las versiones de la aplicación de Instagram antes de 128.0.0.26.128, que se lanzó el 10 de febrero antes de este año.

"Esta [falla] convierte el dispositivo en una herramienta para espiar a los usuarios específicos sin su conocimiento, además de permitir la manipulación maliciosa de su perfil de Instagram", dijo Check Point Research en un análisis publicado hoy.

"En cualquier caso, el ataque podría conducir a una invasión masiva de la privacidad de los usuarios y podría afectar la reputación, o conducir a riesgos de seguridad que son aún más graves".

Después de que se informaron los hallazgos a Facebook, la compañía de redes sociales abordó el problema con una actualización de parche lanzada hace seis meses. La divulgación pública se retrasó todo este tiempo para permitir que la mayoría de los usuarios de Instagram actualizaran la aplicación, mitigando así el riesgo que esta vulnerabilidad puede presentar.

Aunque Facebook confirmó que no había señales de que este error fuera explotado a nivel mundial, el desarrollo es otro recordatorio de por qué es esencial mantener las aplicaciones actualizadas y tener en cuenta los permisos que se les otorgan.

Una vulnerabilidad de desbordamiento

Según Check Point, la vulnerabilidad de corrupción de memoria permite la ejecución remota de código que, dados los amplios permisos de Instagram para acceder a la cámara, los contactos, el GPS, la biblioteca de fotos y el micrófono de un usuario, podría aprovecharse para realizar cualquier acción maliciosa en el dispositivo infectado.

En cuanto a la falla en sí, se debe a la forma en que Instagram integró  MozJPEG  , una biblioteca de codificador JPEG de código abierto que tiene como objetivo reducir el ancho de banda y proporcionar una mejor compresión para las imágenes cargadas en el servicio, lo que resulta en un desbordamiento de enteros cuando la función vulnerable en cuestión ( "read_jpg_copy_loop") intenta analizar una imagen maliciosa con dimensiones especialmente diseñadas.

Al hacerlo, un adversario podría obtener control sobre el tamaño de la memoria asignada a la imagen, la longitud de los datos que se sobrescribirán y, por último, el contenido de la región de memoria desbordada, lo que a su vez le dará al atacante la capacidad de corromper específicos ubicaciones en un montón y desviar la ejecución del código.

La consecuencia de tal vulnerabilidad es que todo lo que un mal actor necesita hacer es enviar una imagen JPEG dañada a una víctima por correo electrónico o WhatsApp. Una vez que el destinatario guarda la imagen en el dispositivo e inicia Instagram, la explotación se lleva a cabo automáticamente, lo que le otorga al atacante el control total sobre la aplicación.

Peor aún, el exploit puede usarse para bloquear la aplicación de Instagram de un usuario y hacerla inaccesible a menos que se elimine y se reinstale nuevamente en el dispositivo.

En todo caso, la vulnerabilidad es indicativa de cómo la incorporación de bibliotecas de terceros en aplicaciones y servicios puede ser un eslabón débil para la seguridad si la integración no se realiza correctamente.


"Al eliminar el código expuesto, se encontraron algunas vulnerabilidades nuevas que desde entonces se han solucionado", dijo Gal Elbaz de Check Point. "Es probable que, con un esfuerzo suficiente, una de estas vulnerabilidades pueda explotarse para RCE en un escenario de ataque sin clic.

"Desafortunadamente, también es probable que otros errores permanezcan o se introduzcan en el futuro. Como tal, es absolutamente necesario realizar pruebas continuas de este y otros códigos de análisis de formatos de medios similares, tanto en bibliotecas del sistema operativo como en bibliotecas de terceros. "

Yaniv Balmas, jefe de investigación cibernética de Check Point, brindó los siguientes consejos de seguridad para los usuarios de teléfonos inteligentes:

- ¡Actualizar! ¡Actualizar! ¡Actualizar! Asegúrese de actualizar periódicamente su aplicación móvil y sus sistemas operativos móviles. Cada semana se envían docenas de parches de seguridad críticos en estas actualizaciones, y cada uno puede tener un impacto severo en su privacidad.

- Supervisar los permisos.  Preste más atención a las aplicaciones que solicitan permiso. Es fácil para los desarrolladores de aplicaciones pedirles a los usuarios permisos excesivos, y también es muy fácil para los usuarios hacer clic en 'Permitir' sin pensarlo dos veces.

- Piense dos veces en las aprobaciones.  Tómate unos segundos para pensar antes de aprobar algo. Pregunte: "¿Realmente quiero darle a esta aplicación este tipo de acceso? ¿Realmente lo necesito?" si la respuesta es no, NO APROBAR.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En junio de 2018 Microsoft anunció uno de sus proyectos más curiosos: Project Natick. La idea era sumergir un centro de datos con 864 servidores en el fondo del océano para ver si es más fácil mantenerlo ahí que en la superficie. Dos años después lo han sacado de nuevo a superficie una vez el experimento ha finalizado. Y parece ser que ha sido todo un éxito.

Cuando almacenamos "en la nube" o "en Internet" nuestros datos en realidad todos acaban en algún tipo de servidor físico que una gran compañía mantiene, en este caso Microsoft. Pero mantener dichos servidores no es tarea fácil y distintas ideas se han desarrollado para mantenerlos estables o perseverar los datos. Otro ejemplo curioso precisamente también de Microsoft es el que han llevado a cabo para guardar una copia de seguridad de GitHub para los próximos 1.000 años: guardarlos en el Ártico.


Sumergir centros de datos resulta ser una gran idea

Volviendo al centro de datos sumergido bajo el agua, Microsoft ha anunciado que finalmente lo han sacado de nuevo a la superficie. El centro de datos ha estado sumergido a unos 35 metros de profundidad en el fondo del océano durante aproximadamente dos años. Ahora revelan algunos detalles sobre por qué consideran que el experimento ha sido un éxito y qué han podido descubrir gracias a ello.


El equipo de Microsoft detrás del proyecto planteó la posibilidad de que debajo del agua un centro de datos sería más estable y energéticamente eficiente. Es decir, un centro de datos en tierra está expuesto a muchos más factores externos de los que se pueden dar en el fondo del mar. Por lo tanto, en principio se requiere más mantenimiento y consumo de recursos para ellos. El experimento viene a confirmar en cierto sentido esto. Microsoft al mismo tiempo que sumergió este centro de datos debajo del agua puso en marca otro prácticamente idéntico en condiciones en la superficie. Ahora han sacado comparativas.


Según Microsoft, el centro de datos de debajo del agua solamente sufrió una octava parte de fallos con respecto al que se encontraba en tierra firme. Los centros de datos en la superficie normalmente se deben enfrentar a problemas como la oxidación, la humedad o el control de la temperatura al variar esta considerablemente durante el día y la noche o las estaciones. En cambio, debajo del mar la temperatura se mantiene de forma más constante y la cápsula que lo contenía estaba herméticamente cerrada al exterior.

La parte negativa, claro, es conseguir reparar un centro de datos a metros de profundidad en el agua. Porque también falla, una octava parte en comparación según Microsoft, pero falla. A pesar de esto, dicen que es energéticamente más eficiente y que se trata de una excelente idea para colocar centros de datos en zonas costeras que tengan una masa de agua considerable cercana.


El siguiente paso para Microsoft es demostrar ahora que estos centros de datos se pueden recuperar fácilmente, reciclar o cambiar por otros nuevos una vez llegan al final de su ciclo de vida útil. No sería nada extraño ver cada vez más servidores sumergidos bajo el agua, aún más lejos de la metafórica nube a la que estamos acostumbrados.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En el puerto de Yokohama, al sur de Tokio, se empezó a construir un Gundam a tamaño real, de casi 20 metros de altura y 25 toneladas. No es el primer robot gigante que se construye en Japón, pues ya se han fabricado varios Gundam del mismo tamaño. Pero sí es el primero que caminará. Y estos días han iniciado los tests para dar los primeros pasos.

El Gundam gigante supone un gran reto a nivel de ingeniería, pues podrá moverse, andar y tendrá hasta 24 grados de libertad de movimiento. En estos primeros tests, lo hemos visto únicamente dar un par de pasos y agacharse.

Empiezan los primeros tests para su presentación en octubre

Fabricado en aluminio en vez de acero, este Gundam se considera bastante ligero para su tamaño. Durante la pandemia muchos proyectos de construcción han quedado paralizados, pero el Gundam ha continuado avanzando. El pasado mes de julio vimos al gigantesco robot mover sus piernas por primera vez y ahora ha dado comienzo la fase de testeo.

Como se aprecia en las imágenes y vídeos, el Gundam está prácticamente completo. Tenemos un mecha RX-78 que puede sostenerse de pie, arrodillarse, girar la cabeza e incluso señalar al cielo con las manos.




Los movimiento del Gundam no son los más ágiles, pero igualmente sorprende ver cómo un robot del tamaño de un cohete espacial puede tener esa libertad de movimiento.

En el pasado se han construido otros Gundam a tamaño real, pero el fabricado en la Gundam Factory de Yokohama es el primero que puede moverse. Varios pasos por delante en complejidad.

El proyecto del Gundam está planificado para principios de octubre, momento en el cual debería presentarse en público. Por el momento hemos visto sus primeros movimientos, quedaremos atentos a este otoño para ver de qué es capaz.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Existen multitud de sistemas operativos para la Raspberry Pi, uno de los más conocidos es Raspbian OS. Pero hay muchos otros basados en Linux y en otros kernels diferentes, como los BSD, así como RISC OS. Además, hace un tiempo también anunciamos un proyecto que pretendía simular la apariencia de sistemas operativos como Microsoft Windows y macOS, este también es el caso de Twister OS.

Solo que a diferencia de aquellos otros sistemas operativos que emulaban la apariencia del sistema de los de Redmond y Cupertino, en el caso de Twister OS es un todo en uno, pudiendo elegir entre la apariencia que deseas tener en tu placa SBC Raspberry Pi. Además, conforme ha ido evolucionando en sus diversas versiones, se ha ido puliendo y actualmente funciona bastante bien...

Actualmente puedes descargar la versión Twister OS 1.8.0 de 32-bit, que podrás instalar igual que harías con cualquier otro sistema operativo para la Raspberry Pi en la SD. Y pese a ser de 32-bit, aunque no funcione el cliente de Steam, puedes ejecutar algunos videojuegos ayudándote de Wine o Play On Linux, así como Box86.

Twister OS es el sucesor de proyectos como Raspbian 95, Raspbian XP, Raspbian X y de iRaspbian que pretenden imitar los entornos de escritorio de Windows 95, XP, 10 y de macOS respectivamente. Para ello se ha usado una distro Raspbian Pi OS como base y un entorno XFCE para que sea ligero y con algunos retoques poder simular esos entornos.

Es compatible con la Raspberry Pi 4, aunque se podría hacer correr sobre otras placas SBC, como por ejemplo en Raspberry Pi 3 Model B+, aunque podrías toparte con ciertos problemas. Por cierto, en cualquiera de los casos, Twister OS está aún en proceso de mejora, por tanto, no esperes todas las funciones disponibles, como por ejemplo el audio a través de la tecnología inalámbrica Bluetooth, que no está soportado por el momento.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En XDC2020 (X.Org Developers Conference), se anunció que ARM se ha unido al proceso de desarrollo del proyecto Panfrost (que desarrolla un controlador abierto para el núcleo de video de Mali).

Para quienes desconocen del controlador Panfrost, deben saber que fue fundado en 2018 por Alyssa Rosenzweig en Collabora y ha evolucionado hasta ahora basándose en la ingeniería inversa de los controladores ARM originales.

Actualmente, el controlador admite chips basados ​​en microarquitecturas Midgard (Mali-T6xx, Mali-T7xx, Mali-T8xx) y Bifrost (Mali G3x, G5x, G7x).

Para la GPU Mali 400/450 utilizada en muchos chips antiguos basados ​​en ARM, el controlador Lima se está desarrollando por separado.

Este controlador desarrollado por ingenieria inversa respalda la generación Midgard y Bifrost de GPU Mali, como un esfuerzo autofinanciado casi completamente independiente.

CitarEstamos muy orgullosos de este trabajo y del hecho de que tenga un alto rendimiento, buenos niveles de funcionalidad y un alto nivel de conformidad con las especificaciones.

Con este anuncio, ARM ha expresado su voluntad de proporcionar a los desarrolladores de controladores la información y la documentación necesarias para comprender mejor el hardware y centrarse en el desarrollo, sin perder tiempo resolviendo acertijos en el proceso de ingeniería inversa de los controladores binarios.

CitarSin embargo, la ingeniería inversa necesariamente conlleva una sobrecarga, ya que necesitamos dedicar tiempo a descubrir cómo funciona realmente el hardware, incluida la forma más óptima de realizar varias operaciones y peculiaridades particulares del hardware.

Anteriormente, esto sucedía con la conexión de Qualcomm para trabajar en el proyecto Freedreno, desarrollando un controlador gratuito para la GPU Qualcomm Adreno.

CitarArm ahora está trabajando junto con Collabora para proporcionarnos información y documentación que nos permita a nosotros y a la comunidad comprender el hardware.

Collabora continúa nuestro esfuerzo para que Panfrost funcione en todos los dispositivos de estas generaciones, hacia el máximo rendimiento, la total conformidad con las especificaciones y el mayor conjunto de funciones posible. Si bien ya lo hemos hecho, el soporte de Arm nos permite acelerar este trabajo y ofrecer el mejor conductor posible con un compromiso de soporte a largo plazo.

Y es que desde hace ya vario tiempo se sabe que muchos de los controladores de GPU para procesadores ARM son de código cerrado, cosa que dificulta el desarrollo de controladores abiertos y sobre todo que si se encuentran errores pueden tardar mucho tiempo en ser corregidos.

La comunidad de desarrolladores ha intentado durante mucho tiempo aplicar ingeniería inversa a los controladores de GPU con proyectos como Freedreno (Qualcomm Adreno), Etnaviv (Vivante), así como Lima y Panfrost para las GPU de Arm Mali.

Hace varios años, la gerencia de Arm no estaba interesada en colaborar con el desarrollo de controladores de GPU de código abierto para las GPU de Mali, pero como señaló Phoronix , Alyssa Rosenzweig, una ingeniera de software gráfico empleada por Collabora, explicó que el desarrollo de Panfrost ahora se realizó en asociación con Arm.

La participación de ARM ayudará a llevar la estabilidad de la implementación a la ubicuidad y brindará un mejor soporte a las instrucciones internas específicas de GPU Mali al proporcionar información de primera mano sobre la arquitectura del chip.

La disponibilidad de documentación interna también garantizará el máximo rendimiento, el cumplimiento total de las especificaciones y la cobertura de todas las capacidades disponibles de GPU Midgard y Bifrost.

Los primeros cambios basados ​​en la información recibida de ARM ya se han introducido en la base de código del controlador. En particular, se ha trabajado para llevar las operaciones de empaquetado de instrucciones a la forma canónica y para rediseñar completamente el desensamblador para reflejar con mayor precisión la arquitectura del conjunto de instrucciones GPU Bifrost y la conformidad con la terminología aceptada en ARM.

Finalmente se espera que el controlador tenga una mejora drástica en cuestión de poco tiempo, además de que este anuncio puede alentar a mas desarrolladores.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu Touch tuvo un abrupto final en la primera de 2017, cuando Canonical anunció el fin de su estrategia en torno a la convergencia para volver a GNOME. Aquel movimiento ha servido para mejorar a ambos, ya que GNOME 3 ha empezado a mostrar su mejor cara y Ubuntu ha podido servir la versión LTS que mejor se ha estrenado en mucho tiempo. Por otro lado, el desarrollo de Ubuntu Touch ha pasado a manos de UBPorts, que Canonical ha apoyado en la medida que ha podido.

A pesar de que GNU/Linux ha fracaso en su intento de penetrar en el mercado de la movilidad, eso no ha interrumpido el desarrollo de algunos sistemas que insisten en liberar a los usuarios del software privativo. Uno de eso sistemas, como no, es Ubuntu Touch, cuyo desarrollado ha continuado de manera constante en los últimos años de la mano de UBPorts, hasta el extremo que tenemos entre nosotros a la reciente OTA-13 de dicho sistema.

Ubuntu Touch OTA-13 pretende continuar la senda de ofrecer un sistema operativo móvil libre y que respete la privacidad del usuario, eso que aparentemente Android no hace tan bien y por lo que es tan criticado. En esta ocasión nos encontramos con actualizaciones de componentes y algún que otro cambio tecnológico relevante.

Lo primero que destaca es la actualización de QtWebEngine de la versión 5.11 a la 5.14.2, que incluye una nueva versión de Chromium que ha sido implementada en Morph Browser. También son dignas de mención la mejora del rendimiento del navegador en un 25% según datos arrojados por JetStream2 ejecutando JavaScript y WebAssembly y la capacidad de abrir ficheros PDF, MP3, imágenes y ficheros de texto. Además, el usuario podrá hacer una selección de texto dentro de otra selección.

       

Continuando con la partes atadas a la interfaz gráfica de usuario, para Ubuntu Touch OTA-13 se ha recuperado el menú principal de la configuración del sistema basado en iconos, el cual fue eliminado por Canonical poco antes de descontinuar el proyecto posiblemente con la intención de mejorar la experiencia con dos columnas. Esta interfaz entrará en funcionamiento cuando la ventana sea demasiado pequeña para el diseño basado en listas.


Ubuntu Touch OTA-13 puede ser descargado desde el sitio web de UBPorts u obtenido desde una actualización. Os dejamos con los dispositivos soportados por la rama estable:

- LG Nexus 5
- OnePlus One
- FairPhone 2
- LG Nexus 4
- BQ E5 HD Ubuntu Edition
- BQ E4.5 Ubuntu Edition
- Meizu MX4 Ubuntu Edition
- Meizu Pro 5 Ubuntu Edition
- BQ M10 (F)HD Ubuntu Edition
- Nexus 7 2013 (Wi-Fi and LTE models)
- Sony Xperia X
- Sony Xperia X Compact
- Sony Xperia X Performance
- Sony Xperia XZ
- OnePlus 3 and 3T

Entre los contribuidores al sistema hay una persona que está trabajando para hacer funcionar componentes como Lomiri y sus indicadores en postmarketOS y Alpine Linux. Según explica UBPorts, esto conllevará la adopción de un nuevo conjunto de tecnologías, entre las que están la sustitución de GNU Libc por musl y el uso de compiladores y herramientas más nuevos. Los cambios mencionados han permitido acercar el trabajo en torno a Ubuntu Touch a postmarketOS y ha facilitado a UBPorts la transición a Ubuntu 20.04 y posteriores.

Luego hay otras novedades de menos impacto pero que igualmente pueden terminar siendo muy útiles, como el hecho de que la aplicación de Contactos pueda guardar fechas de cumpleaños, una vista rediseñda para facilitar la introducción de nuevos contactos, la posibilidad de importar contactos desde un fichero VCF y la corrección de un problema con los mensajes SMS y MMS en el que las burbujas terminaban desbordándose.

Vía: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login