Google Drive elimina automaticamente los elementos de la papelera tras 30 dias: Actualmente, Google Drive mantiene todos los elementos eliminados en la papelera a menos que la vacíe

Microsoft trabaja en una experiencia similar a WeChat para aplicaciones de Microsoft 365: Microsoft ha estado trabajando en una plataforma distribuida a gran escala, o base, que se ubicará en la parte superior de muchos de sus servicios basados ??en la nube

Spotify nivela las acusaciones de monopolio contra Apple tras el anuncio de Apple One: Spotify está acusando a Apple de prácticas comerciales monopólicas luego del anuncio de este último de su paquete de suscripción Apple One junto con los modelos Apple Watch Series 6 y iPad de octava generación en su evento Time Flies el martes.

Como habilitar o deshabilitar el calendario alternativo en la aplicacion Calendario de Windows 10: La aplicación Calendario de Windows 10 tiene muchas características interesantes, como conectar su Calendario de Google, Calendario de Outlook, crear nuevos eventos, cambiar el fondo del calendario, habilitar el modo oscuro, etc.

Falta el boton Fusionar y centrar esta atenuado o no funciona en Excel: El botón de la barra de herramientas Center Across Columns ya no está visible en Microsoft Excel

Como mostrar u ocultar la lista de formulas mientras escribe en Excel: Cuando comienza a escribir una fórmula en Excel, muestra una lista masiva desde donde puede elegir cualquier cosa y autocompletar la fórmula.

Como monitorear el uso de la CPU en la base de su Mac: Si a menudo ejecuta aplicaciones con un uso intensivo del procesador, es bueno vigilar el uso de la CPU de su Mac

Como transferir fotos y documentos en la carpeta segura de Samsung: Se supone que los teléfonos inteligentes son los dispositivos más privados en nuestra vida cotidiana; sin embargo, debido a ciertas limitaciones del software y otros problemas, la privacidad no siempre se mantiene en los dispositivos

Microsoft Edge podra reemplazar Safari como navegador de iPhone predeterminado: Una próxima versión del navegador Microsoft Edge para iOS permitirá a los usuarios configurarlo como el navegador predeterminado en el iPhone.

Usuarios advierten que la actualizacion de Windows 10 podria romper su menu de inicio: Después del lanzamiento de la actualización de septiembre de 2020 de Windows 10 ( KB4571756 y KB4574727 ), los usuarios informan problemas de rendimiento, fallas del menú Inicio, problemas de inicio de sesión, error temporal en el perfil de usuario, pantalla azul de la muerte y una serie de otros errores menores. Si algo de esto le suena familiar, no está solo.

Actualizacion de Windows 10 ahora te obliga a instalar Microsoft Edge: Las actualizaciones más recientes de Windows 10 para el hogar parecen estar instalando Microsoft Edge en dispositivos personales, ya sea que lo necesiten o no

Como extraer un icono de un archivo exe de Windows: A veces, está trabajando en un proyecto y necesita acceso a una versión de alta calidad del icono de una aplicación de Windows 10, pero no puede encontrar uno en Internet.

Como eliminar elementos marcados de Google Keep Notes: Google Keep es una gran herramienta para tomar notas. No está al mismo nivel que Microsoft OneNote , pero funciona muy bien para todas sus necesidades básicas para tomar notas, e incluso para algunas cosas avanzadas

Error 0x887c0032 en Windows 10: Si encuentra el error 0x887c0032 no puede reproducir video o audio en su computadora con Windows 10 cada vez que intenta reproducir un archivo de video o audio a través de la aplicación Películas y TV

Aplicaciones web y servidores JavaScript vulnerables a ataques ReDoS

Las aplicaciones web JavaScript y los servidores web son susceptibles a un tipo específico de vulnerabilidades / ataques conocidos como denegación de servicio de expresión regular ReDoS

Estas vulnerabilidades tienen lugar cuando un atacante envía fragmentos de texto grandes y complejos a la entrada abierta de un servidor web o aplicación basados ​​en JavaScript.

Si el componente del servidor o una biblioteca de aplicaciones no están diseñados específicamente para manejar varios casos extremos, la entrada del atacante puede terminar bloqueando toda la aplicación o el servidor por segundos o minutos a la vez, mientras el servidor analiza y compara el patrón con la entrada.

Varios lenguajes de programación y tecnologías de servidor web tienen problemas similares con el rendimiento de operaciones de coincidencia de patrones y ataques ReDoS, pero son enormemente exagerados en el caso de JavaScript debido al modelo de ejecución de un solo subproceso de la mayoría de los servidores JavaScript, donde cada solicitud es manejada por el mismo hilo.

Cuando se produce un ataque ReDoS, esto termina obstruyendo todo el servidor, en lugar de ralentizar una operación en particular.

Ataques ReDoS conocidos desde 2012 pero cobrando impulso

Los ataques ReDoS en el caso de los servidores JavaScript se detallaron por primera vez en un documento de investigación publicado en 2012, pero en aquel entonces, JavaScript, y Node.js, en particular, no eran tan gigantescos como en la escena de desarrollo web, por lo tanto, este problema particular fue ignorado en gran parte durante otra mitad de la década.

La investigación posterior publicada en 2017 reveló que el 5% de las vulnerabilidades totales encontradas en las bibliotecas y aplicaciones de Node.js eran vulnerabilidades ReDoS.

Pero según una investigación presentada en una conferencia de seguridad la semana pasada, el problema de ReDoS está ganando impulso en la comunidad de JavaScript porque no se ha tratado durante tantos años.

Cristian-Alexandru Staicu y Michael Pradel, dos académicos de la Universidad Técnica de Darmstadt, Alemania, dicen haber encontrado 25 vulnerabilidades desconocidas hasta ahora en los populares módulos Node.js.

Los dos dijeron que un atacante podría crear paquetes de exploits especiales y atacar sitios web / servidores usando cualquiera de estas 25 bibliotecas.

Enviar paquetes de exploits hace que cualquiera de los sitios vulnerables se congele entre unos segundos e incluso minutos, ya que el servidor intenta hacer coincidir el texto contenido en el exploit con un patrón de expresión regular ( regex ) para decidir qué hacer con el entrada. Tales filtros regex en los campos de entrada son comunes, ya que son la base de muchos filtros XSS.

Pero aunque un ataque es malo, enviar paquetes de exploits repetidos al mismo servidor puede causar periodos de inactividad prolongados.

Casi 340 sitios vulnerables a ataques ReDoS

Staicu y Pradel dicen que la razón principal de estos defectos es la falta de atención al rendimiento del ajuste de expresiones regulares, ya que la mayoría de los desarrolladores parecen estar enfocados en la precisión, dejando grandes agujeros en su código que los atacantes pueden explotar usando ataques ReDoS.

Los dos también llevaron su investigación un paso más allá. Idearon un método para detectar estas vulnerabilidades en sitios web en vivo sin utilizar realmente el código de explotación ReDoS.

Utilizaron este método para escanear 2.846 sitios populares basados ​​en Node.js, revelando que 339 -aproximadamente 12% - eran vulnerables a al menos una vulnerabilidad ReDoS.

"ReDoS representa una seria amenaza para la disponibilidad de estos sitios", dijo el equipo de investigación. "Nuestros resultados son un llamado a las armas para el desarrollo de técnicas para detectar y mitigar vulnerabilidades ReDoS en JavaScript".

Algunos problemas ReDoS fueron parcheados

El equipo de investigación de TU Darmstadt informó todas las vulnerabilidades a los desarrolladores de módulos respectivos, algunos de los cuales abordaron los problemas. Este repositorio de GitHub contiene exploits de prueba de concepto para probar las bibliotecas vulnerables pero también enlaces a las correcciones apropiadas para los módulos afectados.

Además de JavaScript, también se sabe que Java se ve afectado por los ataques ReDoS. En 2017 , investigadores de la Universidad de Texas en Austin crearon una herramienta llamada Rexploiter, que utilizaron para encontrar 41 vulnerabilidades ReDoS en 150 programas Java recopilados de GitHub.