CVE-2024-44402
Vie, 06/09/2024 – 16:15
CVE-2024-44402
México no deja de sumar desaparecidos. Al día de hoy, se contabilizan más de 114,000. El país, tercero por extensión en Latinoamércia, también está sembrado de fosas clandestinas, dolorosas heridas sociales. Para aportar a la solución de este complejo problema, un grupo de científicos del Centro de Investigación en Ciencias de Información Geoespacial (CentroGeo) poner la tecnología y el análisis de datos al servicio de las búsquedas.
“Nunca pensé que tendría que trabajar en esto, pero si de algo sirve este conocimiento, ahora es cuando hay que mostrarlo”, dice José Luis Silván, geógrafo del CentroGeo. Años atrás, durante su doctorado, se especializó en medir biomasa forestal y poblaciones humanas a través de información satelital. En ese momento, estaba lejos de imaginar el trabajo científico que hoy realiza: investigar el potencial de drones, imágenes hiperespectrales y protocolos para detectar fosas clandestinas.
En un artículo reciente publicado en la Revista internacional de investigación forense y criminología, Jorge Silván y la investigadora Ana Alegre, insisten en que estudiar el entorno geográfico es muy importante para comprender a profundidad un delito como la desaparición. Así, “por su contexto y diversidad de climas, el caso de México puede representar una oportunidad para el desarrollo de investigaciones”.
En México se han ultrajado desiertos, pastizales, bosques y selvas. No hay ecosistema libre de entierros clandestinos. Entre 2020 y 2022, medios de comunicación reportaron que en cada estado se halló, al menos, una sepultura ilegal.
Encontrar enterramientos requiere un arduo trabajo. Toda la información y recursos disponibles deben ser optimizados. Por eso, los científicos han evaluado el uso de herramientas de percepción remota y han sistematizado la información de hallazgos previos. Buscan descubrir patrones en el comportamiento de los perpetradores y, con ello, encontrar entierros.
Según Red Lupa, 88% de los 114,000 casos de desapariciones en México ocurrieron entre el año 2000 y mayo de 2024. Con 10,315, 2023 es el año en el que se han registrado más. Esto representa un promedio de 29 personas al día. Jalisco, Tamaulipas, Estado de México, Veracruz y Nuevo León son las entidades con más incidencias.
La justicia es casi nula, con un 99% de impunidad para este delito. Por ello, tan solo desde 2007, la sociedad civil ha formado más de 300 colectivos de búsqueda, en su mayoría integrados por familiares que escudriñan la tierra guiados por declaraciones de testigos u organizados en brigadas generales. Estos grupos han detectado gran parte de las 5,696 fosas clandestinas reportadas en suelo mexicano.
La asociación “Unidos por nuestros desaparecidos” hace búsquedas al norte del país, en Baja California. Uno de sus miembros, quien prefirió permanecer anónimo, ha buscado a su hijo durante 18 años. Relata que llevan más de 10 años usando varillas con punta para detectar sepulturas. Esta es una de las herramientas más empleadas en México para este propósito. “Encajamos la varilla en donde sospechamos que la tierra fue removida, la insertamos, la sacamos y la olemos. Si hay restos óseos o tejidos, se sabe por el olor. Es un olor fuerte, fácil de detectar. Huele a materia orgánica en proceso de descomposición”.
CVE-2023-52915
Vie, 06/09/2024 – 09:15
CVE-2023-52915
media: dvb-usb-v2: af9035: Fix null-ptr-deref in af9035_i2c_master_xfer
In af9035_i2c_master_xfer, msg is controlled by user. When msg[i].buf
is null and msg[i].len is zero, former checks on msg[i].buf would be
passed. Malicious data finally reach af9035_i2c_master_xfer. If accessing
msg[i].buf[0] without sanity check, null ptr deref would happen.
We add check on msg[i].len to prevent crash.
Similar commit:
commit 0ed554fd769a
("media: dvb-usb: az6027: fix null-ptr-deref in az6027_i2c_xfer()")
CVE-2023-52916
Vie, 06/09/2024 – 09:15
CVE-2023-52916
media: aspeed: Fix memory overwrite if timing is 1600×900
When capturing 1600×900, system could crash when system memory usage is
tight.
The way to reproduce this issue:
1. Use 1600×900 to display on host
2. Mount ISO through 'Virtual media' on OpenBMC's web
3. Run script as below on host to do sha continuously
#!/bin/bash
while [ [1] ];
do
find /media -type f -printf '"%h/%f"\n' | xargs sha256sum
done
4. Open KVM on OpenBMC's web
The size of macro block captured is 8×8. Therefore, we should make sure
the height of src-buf is 8 aligned to fix this issue.
Según ha revelado una nueva investigación, miles de datos sanitarios confidenciales, como grabaciones de audio y video de sesiones de terapia, estuvieron a disposición del público en internet. La caché de información, asociada a una empresa sanitaria estadounidense, incluía más de 120,000 archivos y más de 1.7 millones de registros de actividad.
A finales de agosto, el investigador de seguridad Jeremiah Fowler encontró la caché vinculada al proveedor de servicios médicos virtuales Confidant Health expuesta en una base de datos no segura. La empresa, que opera en cinco estados de EE UU, entre ellos Connecticut, Florida y Texas, ayuda a la recuperación de adictos al alcohol y a las drogas, junto con tratamientos de salud mental y otros servicios.
Outabox, una empresa australiana que escaneaba rostros para bares y discotecas, sufrió una brecha que muestra los problemas de dar a las empresas tus datos biométricos.
Dentro de los 5.3 terabytes de datos expuestos había detalles extremadamente personales sobre pacientes que van más allá de las sesiones de terapia. Los archivos que vio Fowler incluían informes de varias páginas de las notas de admisión psiquiátrica de las personas y detalles de los historiales médicos. «Al final de algunos de los documentos se leía ‘datos sanitarios confidenciales'», puntualiza.
Por ejemplo, un archivo de admisión psiquiátrica de siete páginas, que parecía estar basado en una sesión de una hora con un paciente, detalla problemas con el alcohol y otras sustancias, incluyendo cómo el paciente afirmaba haber tomado «pequeñas cantidades» de narcóticos del suministro del hospicio de su abuelo antes de que el familiar falleciera. En otro documento, una madre describe la relación «contenciosa» entre su marido y su hijo, incluyendo que mientras su hijo consumía estimulantes acusó a su pareja de abuso sexual.
Los documentos sanitarios filtrados incluyen algunas notas médicas sobre el aspecto de las personas, su estado de ánimo, su memoria, sus medicamentos y su estado mental general. Una hoja de cálculo vista por el investigador parece enumerar a los miembros de Confidant Health, el número de citas que han tenido, los tipos de citas y más.
Fowler añade que algunos de los archivos eran audios y videos de sesiones de pacientes. «Hay algunos traumas familiares desgarradores, realmente dolorosos, traumas personales. Es casi como si te revelaran tus secretos más oscuros que has contado en tu diario, y son cosas que nunca quieres que salgan».
Junto a los historiales médicos había archivos de administración y verificación, incluidas copias de permisos de conducir, documentos de identificación y tarjetas de seguros, reconoce Fowler. Los registros también contenían indicios de que algunos datos son recopilados por chatbots o inteligencia artificial (IA), haciendo referencias a avisos y respuestas predeterminadas a preguntas.
Miles de huellas dactilares e imágenes faciales vinculadas a la policía de India fueron expuestas en internet. Los investigadores sostienen que es una advertencia de lo que ocurrirá a medida que aumente la recopilación de datos biométricos.
Confidant Health cerró rápidamente el acceso a su base de datos después de que Fowler se pusiera en contacto con el equipo. Aunque el investigador no descargó ninguno de los datos filtrados, afirma que una parte de los 120,000 archivos tenían algún tipo de protección mediante contraseña. Para poder alertar a la empresa, Fowler revisó unos 1,000 archivos y explica que no es habitual que una base de datos expuesta incluya tanto archivos bloqueados como desbloqueados.
En una declaración a WIRED, el cofundador de Confidant Health, Jon Read, declara que la empresa se toma muy en serio los problemas de seguridad y «no está de acuerdo con la naturaleza sensacionalista» de los hallazgos. Read manifiesta que una vez que la empresa fue notificada de la «configuración incorrecta», el acceso a los archivos expuestos fue «arreglado en menos de una hora».
Tras el arresto del CEO Pavel Durov en Francia, Telegram ha actualizado discretamente su política para permitir que los chats privados sean denunciados a su equipo de moderación. Un cambio bastante importante, teniendo en cuenta que la plataforma de mensajería ha construido toda su reputación sobre una supervisión mínima de las interacciones de los usuarios. Sin embargo, ayer por la mañana Durov hizo su primera declaración pública desde su detención, prometiendo más moderación de contenidos: «El fuerte aumento del número de usuarios de Telegram hasta 950 millones ha causado dificultades de gestión que han facilitado a los delincuentes abusar de nuestra plataforma. Por eso me he marcado como objetivo personal garantizar que las cosas mejoren significativamente. Ya hemos iniciado este proceso internamente, y pronto compartiré con ustedes más detalles sobre nuestros progresos».
This content can also be viewed on the site it originates from.
Dicho y hecho. Desde ayer por la tarde, los primeros cambios anunciados por Durov ya eran visibles en la plataforma. Algunas secciones de la página de preguntas frecuentes de Telegram, de hecho, se han actualizado para añadir los detalles de la nueva política de moderación: «Todas las aplicaciones de Telegram tienen un botón ‘Denunciar’ que te permite reportar contenido ilegal a nuestros moderadores, en tan solo unos toques», se lee en la página. Pero eso no es todo. Según informa TechCrunch la plataforma también ha proporcionado a los usuarios una dirección de correo electrónico a la que pueden dirigirse para solicitar la atención de los moderadores sobre contenidos específicos, incluyendo claramente enlaces de referencia en el mensaje.
Si las promesas de Durov son reales, estos son apenas los primeros cambios de la plataforma en su política de moderación. Seguro que pronto habrá más. Y si te estás preguntando por qué Telegram ha decidido desvirtuar su naturaleza libre y permisiva, la respuesta es sencilla: las acusaciones preliminares de que la app de mensajería está siendo utilizada para la distribución de pornografía infantil y tráfico de drogas pesan. Y Durov quiere desligarse antes de que la situación se vuelva más grave de lo que ya es.
Artículo originalmente publicado en WIRED Italia. Adaptado por Mauricio Serfatty Godoy.
CVE-2024-45751
Vie, 06/09/2024 – 05:15
CVE-2024-45751
CVE-2024-39585
Vie, 06/09/2024 – 05:15
CVE-2024-39585
CVE-2024-38486
Vie, 06/09/2024 – 05:15
CVE-2024-38486
CVE-2024-6792
Vie, 06/09/2024 – 06:15
CVE-2024-6792
