FALLO

    XSS en Skype para iOS

    IMG_0207.png

    Pues eso, Skype 3.0.1 y versiones anteriores para iOS (iPhone y iPod touch) contiene un fallo de seguridad (XSS) a la hora de mostrar el nombre de tus contactos. Es decir, que no filtra el nombre de tus contactos, por lo tanto si uno de tus contactos fue bautizado como <script>… o <iframe>… tienes un problema :)

    En el vídeo de a continuación podemos ver una demostración del fallo, en el que se roba la base de datos de los contactos del usuario afectado.

    Sep 20, 2011
    HackingAppleSeguridad

    Grave fallo de seguridad en los Apple MacBook a través de la batería

    macbook-battery

    Actualización (tuxotron): Aquí tenéis todos los detalles.

    El investigador de seguridad Charlie Miller nos explica una forma interesante de hack para el MacBook usando la batería.

    El portátil tiene un circuito propio que se utiliza para monitorizar y reportar al OS el estado de la batería. En los MacBook, la baterías se envían con una contraseña por defecto. Eso significa que el firmware de la batería se puede controlar para hacer muchas cosas, entre ellas destruirla usando algún tipo de malware (ese circuito que tienen los MacBook, entre otras cosas controla que no se sobrecaliente o se sobrecarge, ya sabéis por donde voy ... ). Y ojo, si se instala, según Miller no se podría eliminar, anque reinstales el OS, el malware se podría almacenar en la batería, tendrías que cambiarla.

    Jul 23, 2011
    HackingAppleHardwareSeguridad

    Cross-site scripting (XSS) y la Agencia Tributaria (Rubén Santamarta)

    RubenSantamarta 

    El gran Rubén Santamarta ya lleva tiempo avisando de este fallo (incluso él mismo avisó a la Agencia Tributaria, sin que le hicieran mucho caso) allí por donde va con sus charlas magistrales sobre seguridad informática e ingeniería inversa (temas que domina a la perfección). Tuvimos la suerte de verlo dos veces este verano, en la Campus Party y en el Curso de Verano de Seguridad Informática en Valencia, y ambas lo comentó (sin dar detalles).

    Pues al final ha publicado en el blog 48bits toda la información sobre este fallo XSS, a ver si ahora nuestra Agencia Tributaria toma algunas medidas de seguridad.

    Aug 5, 2010
    Seguridad

    Cuidado con la tecla F1 de ayuda en Internet Explorer

    Windows

    Si usas aún Windows 2000, Windows 2003 ó Windows XP, y además el navegador Internet Explorer 6,7 ó 8, ten cuidado e ignora cualquier mensaje que te diga que pulses la tecla F1 en el teclado. Esta tecla, como sabéis, activa la ayuda, pero si tienes la combinación de antes explicada de sistema operativo + navegador, tienes que ignorar este mensaje ya que pulsando dicha tecla se descarga e instala software malicioso en tu ordenador.  Esta vulnerabilidad existe por la forma en que VBScript interactúa con los ficheros de ayuda cuando usas Internet Explorer.

    Mar 3, 2010
    SeguridadMicrosoft

    Agujero de Seguridad en WordPress

    hack

    Acaba de salir una nueva versión de Wordpress, la 2.8.4 y gran culpa la tiene el fallo de seguridad que se publicó ayer, el cual permitía resetear la contraseña del primer usuario que aparece en la base de datos, el cual suele ser “admin”. Aquí tenéis el anuncio oficial de Wordpress, en el que se recomienda encarecidamente la actualización a la última versión.

    Aug 12, 2009
    HackingSeguridad