Samsung Galaxy Fold Global Variant en un SoR Snapdragon 855

El primer teléfono inteligente plegable de Samsung, el Galaxy Fold, saldrá a la venta en Estados Unidos y Corea del Sur a fines del próximo mes. Antes de su lanzamiento, la variante global del teléfono inteligente con número de modelo SM-F900F ha sido capturada en Geekbench.

Google finalmente activa las vistas previas de tabs en el navegador Chrome

Google está dando los toques finales a otra nueva característica de Chrome que podría estar disponible para los usuarios con la siguiente versión estable.

Clave de cifrado BitLocker de Windows extraida con dispositivo de 30 dolares

Según un descubrimiento reciente extraer la clave de cifrado de BitLocker de un dispositivo Windows sin otros sistemas de seguridad no cuesta más de $ 30.

Google Chrome expone a los usuarios de Android a los hackers

Una vulnerabilidad de seguridad en Chromium de Google permite a los piratas informáticos acceder a datos personales almacenados en dispositivos Android.

Mozilla bloquea Firefox 66 debido a un error de PowerPoint

Mozilla lanzó Firefox 66 a principios de esta semana, pero según un nuevo informe, la compañía suspendió la actualización para algunos usuarios debido a lo que parece ser un problema de compatibilidad con la versión en línea de Microsoft PowerPoint.

Intel facilita la administracion de controladores en Windows 10

Intel ha decidido actualizar su aplicación de Panel de control en Windows 10 con un aspecto, nombre y enfoque completamente nuevos, lo que hace que la tarea de administración de controladores sea muy sencilla en el último sistema operativo de Microsoft.

Grupos de hackers trabajan juntos para distribuir software bancario a nivel mundial

El malware bancario considerado una de las principales amenazas, permite a un desarrollador de malware una manera fácil de obtener acceso a alguien y causar un daño grave.

10 Vulnerabilidades de cisco solucionadas

Cisco lanzó actualizaciones de seguridad con las correcciones para varias vulnerabilidades que afectaron a los productos de Cisco que permiten a los atacantes ejecutar código arbitrario en dispositivos vulnerables de Cisco.

Instagram se enfrenta a un recuento de desinformacion

Los mensajes contra la vacuna y la información errónea están pudriendo la plataforma

Microsoft utiliza el sombreado de tasa variable en DirectX 12

La Conferencia de Desarrolladores de Juegos nos ha mostrado muchas cosas deliciosas cuando se trata del procesamiento de gráficos en tiempo real y, si bien las noticias de Microsoft no parecen tan impresionantes, tienen el potencial de tener un impacto aún mayor.

Amazon admite lo obvio tiene un problema de falsificacion

En su informe anual a la SEC Amazon observó el riesgo de que productos falsificados fueran vendidos por terceros en su mercado a través de CNBC

Bluetooth no esta en el centro de accion de Windows 10

Varios usuarios informan que no pueden habilitar deshabilitar Bluetooth desde el Centro de Acción, incluso si su conexión Bluetooth funciona correctamente y han configurado correctamente el controlador dongle

Como optimizar y desbloquear el Samsung Galaxy S10

El Samsung Galaxy S10 / S10+ es el último dispositivo estrella de Samsung. Aún no está rooteado, aunque el desarrollador de Magisk topjohnwu ha estado trabajando duro en un método confiable de root de Magisk

Mozilla Firefox hackeado en Pwn2Own

Mozilla Firefox y Microsoft Edge fueron pirateados en el segundo día del concurso de piratería Pwn2Own, y en el caso del navegador Windows 10, los investigadores propusieron un enfoque súper complejo e inteligente para escapar de una máquina virtual y entrar al host

Facebook almaceno millones de passwords en texto sin formato

Facebook reveló el hecho de que almacenaban cientos de millones de contraseñas de usuarios en texto sin formato a las que podían acceder 20.000 empleados de la empresa.

Windows 10 de abril de 2019 presenta una nueva politica de actualizacion de Windows

La próxima actualización de Windows 10 de abril de 2019, también conocida como versión 1903 o 19H1, incluirá una nueva política de actualización de Windows que permitirá a los administradores especificar fechas límite para actualizaciones automáticas y reinicios.

Controlador de graficos Linux Nvidia 418.56 con GeForce MX230

Nvidia lanzó un nuevo controlador de pantalla de larga duración para los sistemas operativos GNU / Linux, FreeBSD y Solaris para agregar soporte para un par de tarjetas gráficas recientes y corregir varios errores molestos.

LibreOffice 6.2.2 Office Suite con mas de 50 correcciones

Document Foundation anunció la disponibilidad general del segundo lanzamiento de punto para la última suite de oficina de código abierto y multiplataforma LibreOffice 6.2 para todas las plataformas compatibles, incluidas GNU / Linux, macOS y Windows.

Como bloquear KB4493132 la actualizacion de Windows 7

Con el soporte de Windows 7 llegando a su fin en enero de 2020, Microsoft está tratando de que todos estén conscientes de que seguir este sistema operativo básicamente expone sus datos a los piratas informáticos.

Aplicaciones web y servidores JavaScript vulnerables a ataques ReDoS

Las aplicaciones web JavaScript y los servidores web son susceptibles a un tipo específico de vulnerabilidades / ataques conocidos como denegación de servicio de expresión regular ReDoS

Estas vulnerabilidades tienen lugar cuando un atacante envía fragmentos de texto grandes y complejos a la entrada abierta de un servidor web o aplicación basados ​​en JavaScript.

Si el componente del servidor o una biblioteca de aplicaciones no están diseñados específicamente para manejar varios casos extremos, la entrada del atacante puede terminar bloqueando toda la aplicación o el servidor por segundos o minutos a la vez, mientras el servidor analiza y compara el patrón con la entrada.

Varios lenguajes de programación y tecnologías de servidor web tienen problemas similares con el rendimiento de operaciones de coincidencia de patrones y ataques ReDoS, pero son enormemente exagerados en el caso de JavaScript debido al modelo de ejecución de un solo subproceso de la mayoría de los servidores JavaScript, donde cada solicitud es manejada por el mismo hilo.

Cuando se produce un ataque ReDoS, esto termina obstruyendo todo el servidor, en lugar de ralentizar una operación en particular.

Ataques ReDoS conocidos desde 2012 pero cobrando impulso

Los ataques ReDoS en el caso de los servidores JavaScript se detallaron por primera vez en un documento de investigación publicado en 2012, pero en aquel entonces, JavaScript, y Node.js, en particular, no eran tan gigantescos como en la escena de desarrollo web, por lo tanto, este problema particular fue ignorado en gran parte durante otra mitad de la década.

La investigación posterior publicada en 2017 reveló que el 5% de las vulnerabilidades totales encontradas en las bibliotecas y aplicaciones de Node.js eran vulnerabilidades ReDoS.

Pero según una investigación presentada en una conferencia de seguridad la semana pasada, el problema de ReDoS está ganando impulso en la comunidad de JavaScript porque no se ha tratado durante tantos años.

Cristian-Alexandru Staicu y Michael Pradel, dos académicos de la Universidad Técnica de Darmstadt, Alemania, dicen haber encontrado 25 vulnerabilidades desconocidas hasta ahora en los populares módulos Node.js.

Los dos dijeron que un atacante podría crear paquetes de exploits especiales y atacar sitios web / servidores usando cualquiera de estas 25 bibliotecas.

Enviar paquetes de exploits hace que cualquiera de los sitios vulnerables se congele entre unos segundos e incluso minutos, ya que el servidor intenta hacer coincidir el texto contenido en el exploit con un patrón de expresión regular ( regex ) para decidir qué hacer con el entrada. Tales filtros regex en los campos de entrada son comunes, ya que son la base de muchos filtros XSS.

Pero aunque un ataque es malo, enviar paquetes de exploits repetidos al mismo servidor puede causar periodos de inactividad prolongados.

Casi 340 sitios vulnerables a ataques ReDoS

Staicu y Pradel dicen que la razón principal de estos defectos es la falta de atención al rendimiento del ajuste de expresiones regulares, ya que la mayoría de los desarrolladores parecen estar enfocados en la precisión, dejando grandes agujeros en su código que los atacantes pueden explotar usando ataques ReDoS.

Los dos también llevaron su investigación un paso más allá. Idearon un método para detectar estas vulnerabilidades en sitios web en vivo sin utilizar realmente el código de explotación ReDoS.

Utilizaron este método para escanear 2.846 sitios populares basados ​​en Node.js, revelando que 339 -aproximadamente 12% - eran vulnerables a al menos una vulnerabilidad ReDoS.

"ReDoS representa una seria amenaza para la disponibilidad de estos sitios", dijo el equipo de investigación. "Nuestros resultados son un llamado a las armas para el desarrollo de técnicas para detectar y mitigar vulnerabilidades ReDoS en JavaScript".

Algunos problemas ReDoS fueron parcheados

El equipo de investigación de TU Darmstadt informó todas las vulnerabilidades a los desarrolladores de módulos respectivos, algunos de los cuales abordaron los problemas. Este repositorio de GitHub contiene exploits de prueba de concepto para probar las bibliotecas vulnerables pero también enlaces a las correcciones apropiadas para los módulos afectados.

Además de JavaScript, también se sabe que Java se ve afectado por los ataques ReDoS. En 2017 , investigadores de la Universidad de Texas en Austin crearon una herramienta llamada Rexploiter, que utilizaron para encontrar 41 vulnerabilidades ReDoS en 150 programas Java recopilados de GitHub.