Alertas

Una vulnerabilidad que afecta al navegador Safari puede filtrar la identidad de un usuario y su historial de sitios web, han advertido los investigadores.

El problema se introdujo en la implementación de Safari de la API IndexedDB en su última oferta, la versión 15. IndexedDB es una API del navegador para el almacenamiento en el lado del cliente, diseñada para albergar cantidades significativas de datos.

Para evitar la fuga de datos por ataques de secuencias de comandos en sitios cruzados (XSS), IndexedDB sigue la política denominada "same-origin", que controla qué recursos pueden acceder a cada dato.

Leer contenido completo

Investigadores de ciberseguridad han revelado detalles de un fallo ya corregido en el mecanismo de autenticación multifactor (MFA) de Box que podría ser abusado para eludir completamente la verificación de inicio de sesión basada en SMS.

"Utilizando esta técnica, un atacante podría utilizar las credenciales robadas para comprometer la cuenta de Box de una organización y extraer datos sensibles sin acceder al teléfono de la víctima", señalan los investigadores de Varonis en un informe compartido con The Hacker News.

La empresa de ciberseguridad dijo que informó del problema al proveedor de servicios en la nube el 2 de noviembre de 2021, después de lo cual Box emitió correcciones.

Leer contenido completo

Un operador de ransomware con sede en China ha estado explotando activamente durante la última semana la vulnerabilidad Log4j en VMware Horizon, la plataforma de virtualización de escritorios y aplicaciones, ha advertido Microsoft.

"Basándonos en nuestros análisis, los atacantes están utilizando servidores de comando y control (CnC) que suplantan dominios legítimos", dijo el gigante del software en una adición del 10 de enero a sus actualizaciones continuas de 'Log4Shell'.

Cuando tienen éxito, los ataques -que comenzaron " desde el 4 de enero" - resultan en el despliegue del ransomware NightSky.

Leer contenido completo

Se ha hecho pública una vulnerabilidad crítica de "día cero" en un equipo de grabación de vídeo en red fabricado por NUUO, ya que un investigador afirma que los problemas no parcheados podrían conducir a la ejecución remota de código (RCE).

Descubierto por el fundador de Agile Information Security, Pedro Ribeiro, los problemas han estado supuestamente presentes en el dispositivo NUUO NVRmini2 desde 2016.

El NVRmini2 es un grabador de vídeo en red (NVR) del proveedor taiwanés NUU que es capaz de grabar y almacenar imágenes de seguridad en formato digital.

Leer contenido completo