Clicky

AMD logo

Conocidos como "Take A Way", pueden mitigarse a través de una variedad de cambios

Los procesadores AMD desde 2011 hasta 2019 tienen vulnerabilidades previamente no reveladas que los abren a dos nuevos ataques de canal lateral diferentes, según una investigación publicada recientemente.

Conocidos como "Take A Way" [PDF], los potenciales nuevos vectores de ataque aprovechan el predictor de forma de caché de datos L1 (L1D) en la microarquitectura Bulldozer de AMD para filtrar datos confidenciales de los procesadores y comprometer la seguridad al recuperar la clave secreta utilizada durante el cifrado.

Chip Intel

La falla se encuentra en el motor de gestión de seguridad convergente de Intel (CSME)

La mala noticia: una empresa de investigación de seguridad descubrió que los conjuntos de chips Intel utilizados en las computadoras en los últimos cinco años tienen una importante falla que permite a los piratas informáticos eludir los códigos de cifrado e instalar silenciosamente malware como keyloggers.

La peor noticia: no hay una solución completa para el problema.

La firma de seguridad Positive Technologies anunció a fines de la semana pasada que la vulnerabilidad, codificada en la ROM de arranque, expone a millones de dispositivos que usan la arquitectura Intel al espionaje industrial y a las fugas de información confidencial que no pueden detectarse a medida que suceden. Debido a que la falla se produce a nivel de hardware, no se puede parchear.

Protocolo PPP

El software pppd afectado es una implementación del Protocolo punto a punto (PPP)

El US-CERT emitió ayer una advertencia a los usuarios de una nueva y peligrosa vulnerabilidad de ejecución remota de código de 17 años que afecta el software PPP daemon (pppd) que viene instalado en casi todos los sistemas operativos basados en Linux, y también alimenta el firmware de muchos otros dispositivos de red.

El software pppd afectado es una implementación del Protocolo punto a punto (PPP) que permite la comunicación y la transferencia de datos entre nodos, que se utiliza principalmente para establecer enlaces de Internet como los que se obtienen mediante módems de acceso telefónico, conexiones de banda ancha DSL y redes privadas virtuales.

certificados Let's Encrypt

Los certificados afectados deberán renovarse manualmente

La más popular autoridad de firma de certificados gratuita, Let's Encrypt, ha revocado más de 3 millones de certificados TLS en las últimas 24 horas que pueden haber sido emitidos erróneamente debido a un error en su software de Autoridad de Certificación.

El error, que Let's Encrypt confirmó el 29 de febrero y se corrigió dos horas después del descubrimiento, afectaba la forma en que verifica la propiedad del nombre de dominio antes de emitir nuevos certificados TLS.

Como resultado, el error abrió un escenario en el que se podía emitir un certificado incluso sin validar adecuadamente el control del titular de un nombre de dominio.

Google Authenticator

Cerberus es un troyano bancario particularmente formidable

Una nueva investigación indica que la aplicación Google Authenticator en dispositivos Android es vulnerable a una forma de malware conocido como Cerberus. Según el especialista en seguridad cibernética financiera ThreatFabric, este troyano bancario puede robar códigos de acceso únicos generados por la aplicación y potencialmente permitir a los piratas informáticos acceder a las cuentas bancarias.

Google Authenticator proporciona una capa de autenticación de dos factores (2FA) para proteger las cuentas en línea. Accesible a través de teléfonos inteligentes, se concibió como una alternativa preferible a las contraseñas basadas en SMS que se envían a través de redes móviles con niveles de seguridad variables (y dudosos).

certificado Let's Encrypt

HTTPS es el medio predeterminado de comunicación segura en Internet

Let's Encrypt, una autoridad de firma de certificados (CA) gratuita, automatizada y abierta del grupo sin fines de lucro Internet Security Research Group (ISRG), ha dicho que ha emitido mil millones de certificados desde su lanzamiento en 2015.

La CA emitió su primer certificado en septiembre de 2015, antes de llegar a los 100 millones en junio de 2017. Desde finales del año pasado, Let's Encrypt ha emitido al menos 1,2 millones de certificados por día.