Directus is a real-time API and App dashboard for managing SQL database content. A denial of service (DoS) attack by field duplication in GraphQL is a type of attack where an attacker exploits the flexibility of GraphQL to overwhelm a server by requesting the same field multiple times in a single query. This can cause the server to perform redundant computations and consume excessive resources, leading to a denial of service for legitimate users. Request to the endpoint /graphql are sent when visualizing graphs generated at a dashboard. By modifying the data sent and duplicating many times the fields a DoS attack is possible. This vulnerability is fixed in 10.12.0.
08/07/2024
08/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
6.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Botan is a C++ cryptography library. X.509 certificates can identify elliptic curves using either an object identifier or using explicit encoding of the parameters. A bug in the parsing of name constraint extensions in X.509 certificates meant that if the extension included both permitted subtrees and excluded subtrees, only the permitted subtree would be checked. If a certificate included a name which was permitted by the permitted subtree but also excluded by excluded subtree, it would be accepted. Fixed in versions 3.5.0 and 2.19.5.
08/07/2024
08/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.30
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Botan is a C++ cryptography library. X.509 certificates can identify elliptic curves using either an object identifier or using explicit encoding of the parameters. Prior to 3.5.0 and 2.19.5, checking name constraints in X.509 certificates is quadratic in the number of names and name constraints. An attacker who presented a certificate chain which contained a very large number of names in the SubjectAlternativeName, signed by a CA certificate which contained a large number of name constraints, could cause a denial of service. The problem has been addressed in Botan 3.5.0 and a partial backport has also been applied and is included in Botan 2.19.5.
08/07/2024
08/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Gravedad 3.1 (CVSS 3.1 Base Score)
5.30
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
A principios de 2022, dos miembros del personal de políticas de Google se reunieron con un trío de mujeres víctimas de una estafa que hizo que circularan por internet videos explícitos de ellas, incluso a través de los resultados de búsqueda de Google. Ellas se encontraban entre las cientos de jóvenes adultas que respondieron a anuncios que buscaban modelos de trajes de baño para ser obligadas a actuar en contenidos sexuales distribuidos por el sitio web GirlsDoPorn. La página cerró en 2020, y un productor, un contador y un camarógrafo se declararon culpables de tráfico sexual, pero los videos seguían apareciendo en los resultados de Google más rápido de lo que las mujeres podían solicitar su eliminación.
Las mujeres, a las que se unieron un abogado y un experto en seguridad, presentaron una gran cantidad de ideas sobre cómo Google podría ocultar mejor los clips ofensivos y denigrantes, según cinco personas que asistieron a la reunión virtual o fueron informadas de ella. Querían que el buscador de Google prohibiera los sitios web dedicados a GirlsDoPorn y los videos con su marca de agua. Sugirieron que Google tomara prestado el disco duro de 25 terabytes en el que el consultor de ciberseguridad de las mujeres, Charles DeBarber, había guardado todos los contenidos de GirlsDoPorn, creara una huella dactilar matemática, o “hash”, de cada clip y los bloqueara para que nunca volvieran a aparecer en los resultados de las búsquedas.
Los dos empleados de Google presentes en la reunión esperaban utilizar lo que habían aprendido para obtener más recursos de los altos mandos. Pero el abogado de la víctima, Brian Holm, se marchó con dudas. El equipo de políticas de la empresa se encontraba en “una situación difícil” y “no tenía autoridad para efectuar cambios dentro de Google”, comparte.
Su instinto le dio la razón. Dos años después, ninguna de las ideas planteadas en la reunión se ha puesto en práctica, y los videos siguen apareciendo en los resultados de las búsquedas.
Imágenes íntimas no consentidas: un problema creciente en el buscador de Google
WIRED habló con cinco exempleados de Google y 10 defensores de las víctimas que han estado en comunicación con la empresa. Todos ellos mencionan que agradecen que, debido a los recientes cambios introducidos por Google, las supervivientes de abusos sexuales cometidos con imágenes, como la estafa de GirlsDoPorn, consigan eliminar con mayor facilidad y éxito los resultados no deseados de las búsquedas. Pero les frustra que la dirección de la gigante tecnológica no haya aprobado las propuestas, como la idea del disco duro, que consideran que restablecería y preservaría mejor la privacidad de millones de victimas de todo el mundo, la mayoría de ellas mujeres.
Las fuentes describen deliberaciones internas de las que no se había informado anteriormente, incluida la justificación de Google para no emplear una herramienta del sector denominada StopNCII que comparte información sobre imágenes íntimas no consentidas (NCII, por sus siglas en inglés) y el hecho de que la compañía no exigiera que los sitios web pornográficos verificaran el consentimiento para obtener tráfico de estas búsquedas. El propio equipo de investigación de Google ha publicado medidas que las empresas tecnológicas pueden adoptar contra las NCII, incluido el uso de StopNCII.
Asimismo, las fuentes creen que tales esfuerzos contendrían mejor un problema que va en aumento, en parte gracias a la ampliación del acceso a herramientas de inteligencia artificial (IA) que generan deepfakes explícitos, incluidos los de las supervivientes de GirlsDoPorn. El número total de denuncias a la línea de ayuda Revenge Porn de Reino Unido se incrementó en más del doble el año pasado, hasta aproximadamente 19,000, al igual que el número de casos relacionados con contenido sintético. A la mitad de los más de 2,000 británicos que participaron en una encuesta reciente les preocupaba ser víctimas de deepfakes. En mayo, la Casa Blanca instó a los legisladores y a la industria a tomar medidas más rápidas para frenar las NCII en general. En junio, Google se unió a otras siete compañías y nueve organizaciones en el anuncio de un grupo de trabajo para coordinar las acciones.
Aumentan las denuncias a la línea de ayuda de Revenge Porn de Reino Unido: a través de llamadas, emails y, recientemente, un chatbot, la gente busca cada vez más apoyo para mantener privado el contenido íntimo.
En la actualidad, las víctimas pueden exigir el enjuiciamiento de los agresores o emprender acciones legales contra los sitios web que alojan esta clase de contenidos, pero ninguna de esas vías garantiza nada, y ambas pueden resultar costosas debido a los honorarios de los abogados. Conseguir que Google elimine los resultados sería la táctica más práctica y serviría al objetivo último de mantener el material infractor fuera del alcance de amigos, jefes de contratación, posibles arrendadores o citas, quienes probablemente recurran a Google para buscar información sobre las personas.
Una representante de Google, quien solicitó el anonimato para evitar el acoso de los autores, declinó hacer comentarios sobre la llamada con las víctimas de GirlsDoPorn. Asegura que la lucha contra lo que la empresa denomina imágenes explícitas no consentidas (NCEI, por sus siglas en inglés) sigue siendo una prioridad y que las acciones de Google van mucho más allá de lo que exige la ley. “A lo largo de los años, hemos invertido mucho en políticas y mecanismos líderes en el sector para ayudar a proteger a las personas afectadas por este contenido perjudicial”, afirma. “Los equipos de todo Google siguen trabajando con diligencia para reforzar nuestras medidas y abordar cuidadosamente los nuevos retos para proteger mejor a las personas”.
En la mañana del lunes 8 de julio, Ucrania fue escenario del ataque ruso con misiles más destructivo contra el país en meses. Kiev y otras ciudades fueron el blanco, causando una devastación generalizada. El saldo provisional, que aún se está actualizando, es de por lo menos 33 muertos y decenas de heridos en todo el país. La capital sufrió los peores daños, con 17 muertos y no menos de 48 heridos.
Entre los objetivos afectados estaba el Hospital Infantil de Okhmatdyt, el mayor de Ucrania y principal centro de tratamiento del cáncer pediátrico del país. El impacto causó el derrumbe parcial de las instalaciones, lo que provocó la muerte de un médico y un adulto, así como heridas a 16 personas, entre ellas siete niños. Los equipos de rescate, asistidos por voluntarios, trabajan incansablemente para extraer a los supervivientes de los escombros. Mientras, los pacientes fueron trasladados a otro centro médico de la ciudad. Daria Tsarivna, asesora personal del presidente Zelensky, publicó en Telegram la fotografía de un niño herido en el atentado que está circulando por la red, acompañando la imagen con el texto: “Okhmatdyt, Kyiv. El mundo entero debería ver esto. Esta es la nueva [masacre de] Bucha. Este es el nuevo terror de los rusos”.
Los drones se sirven de la IA para detectar campos minados en la guerra de Ucrania
El proyecto piloto de la organización humanitaria de desminado The HALO Trust comenzará a experimentar con el análisis de imágenes de drones mediante IA e infraestructura de Amazon Web Services.
Nueva escalada en la guerra de Ucrania
Las defensas antiaéreas ucranianas consiguieron interceptar varios misiles, pero los fragmentos siguieron causando daños significativos. Este ataque supone una escalada significativa tras un periodo de relativa calma en la capital, y resalta la continua vulnerabilidad de las ciudades de Ucrania a pesar de la mejora de las defensas antiaéreas gracias al apoyo de Occidente. El alcalde de Kiev, Vitali Klitschko, declaró que el asalto contra la capital era uno de los más intensos desde que comenzó la invasión rusa. Gracias al apoyo proporcionado por Occidente, la ciudad había vivido un periodo relativamente tranquilo antes de este último atentado.
Rusia negó haber atacado infraestructuras civiles, insistiendo en que los bombardeos iban dirigidos contra instalaciones militares. En un comunicado, Andrey Belousov, ministro de Defensa del país, atribuyó el incidente a misiles antiaéreos ucranianos. Pero algunos videos que circulan por la red parecen demostrar lo contrario.
X content
This content can also be viewed on the site it originates from.
Mientras tanto, el presidente Volodymyr Zelensky renovó su llamado a la comunidad internacional, haciendo hincapié en la necesidad de responsabilizar a Rusia de estos ataques contra civiles e infraestructuras críticas. El atentado afectó también a otras ciudades ucranianas, como Kramatorsk, Dnipro y Sloviansk. En Kryvyi Rih, ciudad natal de Zelensky, hubo 10 muertos y 31 heridos, 10 de ellos en estado grave, mientras que en la región de Dnipropetrovsk se informó de otros 31 lesionados. En Pokrovsk, se reportaron tres víctimas.
Artículo publicado originalmente en WIRED Italia. Adaptado por Andrei Osornio.
La postura de YouTube sobre los videos de la guerra en Gaza provoca la reacción de sus empleados
Los informantes han compartido el manual de YouTube para gestionar la crisis de Gaza. Argumentan que muestra una aplicación incoherente.
A security vulnerability in HCL Domino could allow disclosure of sensitive configuration information. A remote unauthenticated attacker could exploit this vulnerability to obtain information to launch further attacks against the affected system.
08/07/2024
08/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.30
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
A heap-based buffer overflow vulnerability exists in the configuration file mib_init_value_array functionality of Realtek rtl819x Jungle SDK v3.4.11. A specially crafted .dat file can lead to arbitrary code execution. An attacker can upload a malicious file to trigger this vulnerability.
08/07/2024
08/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
7.20
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Three os command injection vulnerabilities exist in the boa formWsc functionality of Realtek rtl819x Jungle SDK v3.4.11. A specially crafted series of HTTP requests can lead to arbitrary command execution. An attacker can send a series of HTTP requests to trigger these vulnerabilities.This command injection is related to the `localPin` request's parameter.
08/07/2024
08/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
7.20
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Directus is a real-time API and App dashboard for managing SQL database content. There was already a reported SSRF vulnerability via file import. It was fixed by resolving all DNS names and checking if the requested IP is an internal IP address. However it is possible to bypass this security measure and execute a SSRF using redirects. Directus allows redirects when importing file from the URL and does not check the result URL. Thus, it is possible to execute a request to an internal IP, for example to 127.0.0.1. However, it is blind SSRF, because Directus also uses response interception technique to get the information about the connect from the socket directly and it does not show a response if the IP address is internal. This vulnerability is fixed in 10.9.3.
08/07/2024
08/07/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.00
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
