XSS en Skype para iOS

Pues eso, Skype 3.0.1 y versiones anteriores para iOS (iPhone y iPod touch) contiene un fallo de seguridad (XSS) a la hora de mostrar el nombre de tus contactos. Es decir, que no filtra el nombre de tus contactos, por lo tanto si uno de tus contactos fue bautizado como <script>… o <iframe>… tienes un problema :) En el vídeo de a continuación podemos ver una demostración del fallo, en el que se roba la base de datos de los contactos del usuario afectado.
Leer más

Grave fallo de seguridad en los Apple MacBook a través de la batería

Actualización (tuxotron): Aquí tenéis todos los detalles. El investigador de seguridad Charlie Miller nos explica una forma interesante de hack para el MacBook usando la batería. El portátil tiene un circuito propio que se utiliza para monitorizar y reportar al OS el estado de la batería. En los MacBook, la baterías se envían con una contraseña por defecto. Eso significa que el firmware de la batería se puede controlar para hacer muchas cosas, entre ellas destruirla usando algún tipo de malware (ese circuito que tienen los MacBook, entre otras cosas controla que no se sobrecaliente o se sobrecarge, ya sabéis por donde voy .
Leer más

Cross-site scripting (XSS) y la Agencia Tributaria (Rubén Santamarta)

El gran Rubén Santamarta ya lleva tiempo avisando de este fallo (incluso él mismo avisó a la Agencia Tributaria, sin que le hicieran mucho caso) allí por donde va con sus charlas magistrales sobre seguridad informática e ingeniería inversa (temas que domina a la perfección). Tuvimos la suerte de verlo dos veces este verano, en la Campus Party y en el Curso de Verano de Seguridad Informática en Valencia, y ambas lo comentó (sin dar detalles).
Leer más

Cuidado con la tecla F1 de ayuda en Internet Explorer

Windows Si usas aún Windows 2000, Windows 2003 ó Windows XP, y además el navegador Internet Explorer 6,7 ó 8, ten cuidado e ignora cualquier mensaje que te diga que pulses la tecla F1 en el teclado. Esta tecla, como sabéis, activa la ayuda, pero si tienes la combinación de antes explicada de sistema operativo + navegador, tienes que ignorar este mensaje ya que pulsando dicha tecla se descarga e instala software malicioso en tu ordenador.
Leer más

Agujero de Seguridad en WordPress

Acaba de salir una nueva versión de Wordpress, la 2.8.4 y gran culpa la tiene el fallo de seguridad que se publicó ayer, el cual permitía resetear la contraseña del primer usuario que aparece en la base de datos, el cual suele ser “admin”. Aquí tenéis el anuncio oficial de Wordpress, en el que se recomienda encarecidamente la actualización a la última versión.
Leer más