Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas.

Una vulnerabilidad de cross-site scripting (XSS) en el framework Krpano, utilizado para embeber imágenes y vídeos 360° en páginas web e implementar tours virtuales y experiencias de realidad virtual (VR), ha sido explotada para realizar una campaña masiva de spam manipulando los resultados de búsqueda.

En una grave advertencia para la privacidad digital, un grupo anunció que expondrá la ubicación precisa de más de 40 millones de teléfonos celulares en México, como parte de una filtración masiva que afecta a diversos países. Según información obtenida por la firma de ciberseguridad SILIKN, los ciberdelincuentes habrían comprometido 6.9 TB de datos generales de usuarios y 10 TB de historiales de actividad, lo que incluye patrones de uso, movimientos y coordenadas exactas de localización.

Este tutorial muestra cómo instalar y usar ModSecurity con Apache en servidores Debian/Ubuntu. ModSecurity es un cortafuegos de aplicaciones web (WAF) de código abierto muy conocido, que proporciona una protección completa para sus aplicaciones web (como WordPress, Nextcloud, Moodle, Ghost, etc.) contra una amplia gama de ataques de Capa 7 (HTTP), como inyección SQL, cross-site scripting e inclusión de archivos locales (LFI)

Estados Unidos anunció este martes que ofrece una recompensa de hasta USD 10 millones por cualquier información que conduzca a la detención del ciudadano ruso Mikhail Pavlovich Matveev, acusado de perpetrar ciberataques a hospitales, agencias gubernamentales, escuelas, empresas y fuerzas de seguridad para robar datos sensibles y exigir pagos de rescates.  Mikhail Matveev, ‘Wazawaka,’ está acusado de participar en ataques de ransomware que le habrían servido para recolectar unos USD 200 millones en pagos de rescates. El problema es que Wazawaka vive en Rusia y no tiene previsto moverse, ya que Estados Unidos no tiene acuerdo de extradición con Rusia. “La Madre Rusia te ayudará”, concluyó Wazawaka. “Ama a tu país, y siempre te saldrás con la tuya”. A Matveev le falta el dedo anular de la mano izquierda y tiene un gran tatuaje en el brazo derecho.

El OWASP Secure Headers Project (también llamado OSHP) describe los encabezados de respuesta HTTP que una aplicación web puede usar para aumentar su seguridad. Una vez configurados, estos encabezados de respuesta HTTP pueden impedir que los navegadores modernos se encuentren con vulnerabilidades fácilmente prevenibles. 

Permite a los atacantes implantar scripts maliciosos en un sitio web legítimo (también víctima del atacante) para ejecutar un script en el navegador de un usuario desprevenido que visita dicho sitio y afectarlo, ya sea robando credenciales, redirigiendo al usuario a otro sitio malicioso, o para realizar defacement en un sitio web.

Google ha corregido un error en su herramienta de comentarios incorporada en todos sus servicios que podría ser aprovechado por un atacante para robar capturas de pantalla de documentos confidenciales de Google Docs simplemente insertándolos en un sitio web malicioso. La falta de una cabecera de seguridad, en concreto la falta del encabezado X-Frame-Options en el dominio de Google Docs permitió el ataque, lo cual además le ha permitido ganar 3.133$ de recompensa por reportarlo a Google.

Un error de ejecución remota de código (RCE) permite, sin hacer clic, en las aplicaciones de escritorio de Microsoft Teams, a un adversario ejecutar código arbitrario simplemente enviando un mensaje de chat especialmente diseñado y comprometiendo el sistema de un objetivo. El error es multiplataforma, lo que afecta a Microsoft Teams para Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) y la web (teams.microsoft.com) - y podría hacerse em forma de gusano para propagarse. Microsoft lo califica como "Importante Spoofing", una de las calificaciones más bajas posibles sin asignar un CVE.

 TikTok ha solucionado dos vulnerabilidades que podrían haber permitido a los atacantes tomar control de las cuentas con un solo clic cuando estaban unidas para los usuarios que se registraron a través de aplicaciones de terceros. Taskiran informó a TikTok sobre la cadena de ataques de adquisición de cuentas el 26 de agosto de 2020, y la compañía resolvió los problemas y otorgó al cazador de errores una recompensa de $ 3,860 el 18 de septiembre.