WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización.
Libros de seguridad informática (recomendados por los usuarios)
El objetivo del Día Internacional del Libro, fecha que se celebra hoy, 23 de abril, es fomentar la lectura y el aprendizaje a través de los libros. Por esta razón, desde WeLiveSecurity decidimos aprovechar la ocasión y complementar nuestro post sobre 5 libros de seguridad informática recomendados por investigadores de seguridad, con un nuevo post de libros de seguridad recomendados por nuestra comunidad de usuarios a través de las redes sociales. En la mayoría de los casos, los títulos sugeridos por la comunidad son en español, aunque también hay en otros idiomas. A continuación, compartimos los títulos sugeridos e invitamos a los lectores…
Vulnerabilidad crítica en Apache (Parchea!)
Se acaba de corregir en el servidor web Apache, la vulnerabilidad CVE-2019-0211, que afecta de la versión 2.4.17 a la 2.4.38 en sistemas Unix. Es muy grave porque permite, a través de un CGI sin privilegios, conseguir los privilegios del HTTPD padre, que habitualmente será root. Este error de escalamiento de privilegios es especialmente problemático para los proveedores de alojamiento que aún ofrecen planes de “alojamiento web compartido” donde un sitio se está ejecutando junto a otros, todos ellos compartiendo el mismo servidor Apache principal. Incluso si un servidor Apache vulnerable se está ejecutando por sí solo, esta falla podría usarse en…
Nuevo ataque ‘Creativo’ de phishing al que le deberías prestar atención
Un investigador de ciberseguridad ha compartido detalles de una nueva campaña de ataque que ha sido específicamente diseñada para dispositivos móviles. Así como una anterior campaña que este mismo investigador sacó a la luz, el nuevo ataque de phishing esta también basado en la idea de que una página web maliciosa podría verse y sentirse como una ventana de navegador para engañar aún a los usuarios más vigilantes y obtener sus credenciales y contraseñas.
WebAuthn, aprobado el estándar para terminar con las contraseñas en Internet
El W3C –World Wide Web Consortium- ha declarado, como estándar web oficial, la API de autenticación online WebAuth. Se anunció originalmente en febrero del año 2016, por parte de la W3C y de la FIDO Alliance. Se trata ahora de un estándar abierto que permite el inicio de sesión en Internet, en todo tipo de servicios online, sin necesidad de contraseña. De momento hay empresas importantes incluidas en el proyecto como Google, IBM, Intel, Microsoft, PayPal, Alibaba, Airbnb o Apple.
Descifrar y manipular tráfico de WhatsApp
Hace unos meses, unos investigadores de Check Point publicaron información sobre una serie de vulnerabilidades que habían descubierto en WhatsApp, a las que acuñaron bajo el nombre de “FakesApp”. Hemos visto en el pasado otras vulnerabilidades que generaron revuelo, tanto para WhatsApp como para otros sistemas de mensajería.