Patch Tuesday, November 2020 Edition

Adobe and Microsoft each issued a bevy of updates today to plug critical security holes in their software. Microsoft’s release includes fixes for 112 separate flaws, including one zero-day vulnerability that is already being exploited to attack Windows users. Microsoft also is taking flak for changing its security advisories and limiting the amount of information disclosed about each bug.

Some 17 of the 112 issues fixed in today’s patch batch involve “critical” problems in Windows, or those that can be exploited by malware or malcontents to seize complete, remote control over a vulnerable Windows computer without any help from users.

Most of the rest were assigned the rating “important,” which in Redmond parlance refers to a vulnerability whose exploitation could “compromise the confidentiality, integrity, or availability of user data, or of the integrity or availability of processing resources.”

A chief concern among all these updates this month is CVE-2020-17087, which is an “important” bug in the Windows kernel that is already seeing active exploitation. CVE-2020-17087 is not listed as critical because it’s what’s known as a privilege escalation flaw that would allow an attacker who has already compromised a less powerful user account on a system to gain administrative control. In essence, it would have to be chained with another exploit.

Unfortunately, this is exactly what Google researchers described witnessing recently. On Oct. 20, Google released an update for its Chrome browser which fixed a bug (CVE-2020-15999) that was seen being used in conjunction with CVE-2020-17087 to compromise Windows users.

If you take a look at the advisory Microsoft released today for CVE-2020-17087 (or any others from today’s batch), you might notice they look a bit more sparse. That’s because Microsoft has opted to restructure those advisories around the Common Vulnerability Scoring System (CVSS) format to more closely align the format of the advisories with that of other major software vendors.

But in so doing, Microsoft has also removed some useful information, such as the description explaining in broad terms the scope of the vulnerability, how it can be exploited, and what the result of the exploitation might be. Microsoft explained its reasoning behind this shift in a blog post.

Not everyone is happy with the new format. Bob Huber, chief security officer at Tenable, praised Microsoft for adopting an industry standard, but said the company should consider that folks who review Patch Tuesday releases aren’t security practitioners but rather IT counterparts responsible for actually applying the updates who often aren’t able (and shouldn’t have to) decipher raw CVSS data.

“With this new format, end users are completely blind to how a particular CVE impacts them,” Huber said. “What’s more, this makes it nearly impossible to determine the urgency of a given patch. It’s difficult to understand the benefits to end-users. However, it’s not too difficult to see how this new format benefits bad actors. They’ll reverse engineer the patches and, by Microsoft not being explicit about vulnerability details, the advantage goes to attackers, not defenders. Without the proper context for these CVEs, it becomes increasingly difficult for defenders to prioritize their remediation efforts.”

Dustin Childs with Trend Micro‘s Zero Day Initiative also puzzled over the lack of details included in Microsoft advisories tied to two other flaws fixed today — including one in Microsoft Exchange Server (CVE-2020-16875) and CVE-2020-17051, which is a scary-looking weakness in the Windows Network File System (NFS).

The Exchange problem, Childs said, was reported by the winner of the Pwn2Own Miami bug finding contest.

“With no details provided by Microsoft, we can only assume this is the bypass of CVE-2020-16875 he had previously mentioned,” Childs said. “It is very likely he will publish the details of these bugs soon. Microsoft rates this as important, but I would treat it as critical, especially since people seem to find it hard to patch Exchange at all.”

Likewise, with CVE-2020-17051, there was a noticeable lack of detail for bug that earned a CVSS score of 9.8 (10 is the most dangerous).

“With no description to work from, we need to rely on the CVSS to provide clues about the real risk from the bug,” Childs said. “Consider this is listed as no user interaction with low attack complexity, and considering NFS is a network service, you should treat this as wormable until we learn otherwise.”

Separately, Adobe today released updates to plug at least 14 security holes in Adobe Acrobat and Reader. Details about those fixes are available here. There are no security updates for Adobe’s Flash Player, which Adobe has said will be retired at the end of the year. Microsoft, which has bundled versions of Flash with its Web browsers, says it plans to ship an update in December that will remove Flash from Windows PCs, and last month it made the removal tool available for download.

Windows 10 users should be aware that the operating system will download updates and install them on its own schedule, closing out active programs and rebooting the system. If you wish to ensure Windows has been set to pause updating so you can back up your files and/or system, see this guide.

But please do back up your system before applying any of these updates. Windows 10 even has some built-in tools to help you do that, either on a per-file/folder basis or by making a complete and bootable copy of your hard drive all at once.

As always, if you experience glitches or problems installing any of these patches this month, please consider leaving a comment about it below; there’s a better-than-even chance other readers have experienced the same and may chime in here with some helpful tips.

from Krebs on Security

Un supuesto OnePlus Nord SE estaría en camino con Snapdragon 765G

No para OnePlus en este extraño 2020 en el que muchos fabricantes están optando por cambiar sus estrategias y paradigmas. En el caso del joven fabricante chino, por primera vez saltándose esa habitual política de un ‘flaghsip killer’ anual actualizado más tarde en el segundo semestre, con el fin de acabar el año en la vanguardia del catálogo Android.

Este curso los de Pete Lau han lanzado ya al OnePlus 8, OnePlus 8 Pro, OnePlus 8T, OnePlus Nord y los últimos OnePlus Nord N10 y N100 más asequibles, después de que el propio fabricante chino confirmase que Nord sería una gama de móviles más asequibles y no sólo un smartphone.

Son seis dispositivos ya, siete si el que ahora se rumorea y que hemos conocido de la mano de Android Central se convierte en una realidad antes de que acabe el año, algo que sin embargo no vemos demasiado factible por mucho que hablemos de un nuevo OnePlus Nord de corte económico y carga rápida, que sería un ‘must have’ para estas Navidades.

OnePlus Nord

El primer OnePlus Nord, no sólo un smartphone asequible sino el abanderado de toda una familia.

Saber más: OnePlus ha lanzado una edición “muy especial” del OnePlus Nord

Así sería el hipotético OnePlus Nord SE, que conservará la carga Warp Charge 65 del Oneplus 8T

Dicen las fuentes que este nuevo OnePlus se llamaría Nord SE, en desarrollo interno se llama ‘Ebba’, y ocuparía el cuarto lugar del catálogo OnePlus Nord, con concepción asequible pero especificaciones muy interesantes para vencer y convencer en la gama más competida del mercado.

Para empezar implementaría un panel AMOLED que ya empieza a estandarizarse también en smartphones más básicos, y que subiría mucho el nivel de los actuales Nord N10 y Nord N100 que presentan pantallas LCD. Además, veremos al Snapdragon 765G de Qualcomm con conectividad 5G, lo que muestra ya una buena idea de lo que OnePlus pretende.

De hecho, el conjunto y este perfil de smartphone se completaría con una batería generosa, de 4.500mAh, pero sobre todo con una de las mejores cargas rápidas del mercado como es la Warp Charge 65 de OnePlus que disfruta la más alta gama del fabricante chino y que promete cargas completas en poco más de media hora.

El dispositivo se presentaría en próximas fechas, según algunas fuentes consultadas incluso podría enseñarse oficialmente antes de finalizar 2020, pero su comercialización estaría fijada para el primer trimestre de 2021 buscando competir entre la mejor gama media con un datasheet por encima del nivel medio y unos precios más contenidos.

Además, a diferencia de unos OnePlus Nord N10 y N100 que se diseñaron pensando en los Estados Unidos, este OnePlus Nord SE estaría específicamente perfilado para contentar a los usuarios europeos y a los mercados emergentes asiáticos, con la India y Europa como sus primeros mercados. ¿Qué le diferenciará del actual OnePlus Nord?

Saber más: Más detalles del OnePlus 8T “Cyberpunk”: jamás se vio un módulo de cámara tan grande

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada Un supuesto OnePlus Nord SE estaría en camino con Snapdragon 765G se publicó primero en Andro4all.

from Andro4all

Roblox: Cómo conseguir faldas gratis en Royale High

Te mostramos los mejores trucos para conseguir faldas nuevas y totalmente gratis en Royale High. Consigue un nuevo outfit y sin gastar un solo céntimo.

Actualmente Roblox es considerado una de los títulos más influyentes de este año, ya que gracias a su contenido family friendly cualquier persona puede jugarlo sin importar la edad. Y uno de los aspectos más resaltantes que presenta Roblox es su gran sistema multiplataforma, ya sea PC, móviles y Xbox One.

Su catálogo de juegos es casi infinito porque diariamente se suman nuevos mapas a la lista. Sin embargo, siempre resaltan algunos como Adopt Me!, Meep City y, por supuesto, el popular Royale High.

Roblox Como conseguir faldas gratis en Royale High

Roblox: Cómo conseguir faldas gratis en Royale High

Este último mapa está repleto de sorpresas, y una de ellas es tener las añoradas faldas, este artilugio de belleza mejorará el aspecto de tu avatar y te hará resaltar frente al resto.

Saber más: Los 14 mejores juegos de Roblox gratuitos de 2020, ¡pruébalos!

Y aunque sabemos que la prenda tiene un valor dentro del juego, en esta oportunidad conocerás distintas maneras de cómo conseguir faldas gratis en Royale High.

Los mejores trucos para conseguir faldas gratis en Royale High

Si aún no has tenido el privilegio de jugar Royale High, este mapa es del género roleplay en un mundo repleto de fantasías y cosas extravagantes como por ejemplo: casas, coches, prendas y más.

Podrás ir a la escuela, tener un empleo, conocer amistades, tener tu propia banda e incluso participar en certámenes de belleza.

Conseguir faldas gratis en Royale High

Así de fácil puedes conseguir faldas en Royale High y lucir como toda una estrella

Y para sacarle el máximo provecho a este mini-juego es necesario tener la mayor cantidad de diamantes. Estos diamantes te podrán ayudar a conseguir faldas para hacer lucir a tu personaje como toda una estrella. Si quieres hacerte con una de ellas u otra prenda de preferencia, sigue los trucos que verás a continuación:

Suscríbete a los canales de Roblox más destacado

La comunidad de youtubers especializada en Roblox es más grande de lo que piensas, son cientos los creadores de contenido que se dedican a explorar cada uno de los mapas disponibles en la plataforma. Y no sólo para divertirse con sus seguidores, sino que además, te ofrecen la oportunidad de participar en sorteos y ganar robux gratis.

Seguir a los YouTuber más destacados de Roblox

Suscríbete a los mejores canales de Roblox y gana diamantes para comprar faldas

Así que lo único que debes hacer es suscribirte a los mejores canales de YouTube para ver vídeos de Roblox y estar al tanto de los vídeos e instrucciones. Quizás seas uno de los afortunados ganadores y puedas comprar faldas gratis en Royale High.

Descarga apps para ganar robux en Roblox

También existen numerosas aplicaciones para ganar robux gratis, y aunque sabemos que no ganarás miles de monedas, estamos claros de que al menos podrás conseguir el dinero necesario para comprar faldas en Royale High.

Saber más: 9 aplicaciones para Roblox de gran utilidad

Su funcionamiento es similar, solo necesitas realizar ciertas tareas como responder encuestas, ver algunos vídeos cortos, descargar videojuegos o apps, y luego recaudar la cantidad mínima para canjear por robux.

Las apps móviles que verás a continuación trabajan bajo el sistema operativo Android:

Aplicaciones para ganar robux en Roblox

Las apps móviles te ayudarán a ganar dinero para comprar faldas nuevas en Royale High

Arma una rutina diaria de juego en Royale High

A pesar de todas las alternativas disponibles para tener una falda gratis en Royale High, la opción más viable es jugar dentro del mapa y conseguir la mayor cantidad de diamantes posibles. Si quieres saber como ganar diamantes gratis entra en la escuela y realiza todas las asignaciones.

Jugar Royale High para conseguir faldas gratis

Una de las formas más sencillas de conseguir faldas gratis es jugando dentro del mapa

Existen muchas formas de conseguir las monedas en este servidor, y hasta es posible establecer una rutina diaria. Estamos seguros que cumpliendo cada tarea será posible armar tu colección de faldas sin gastar ni un céntimo.

Imagen | i.pinimg, t0.rbxcdn, play-lh.googleusercontent

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada Roblox: Cómo conseguir faldas gratis en Royale High se publicó primero en Andro4all.

from Andro4all

WinApps ya esta disponible y permite ejecutar aplicaciones de Windows en Linux

En el mes de abrir Hayden Barnes (un desarrollador de aplicaciones y gerente de ingeniería de WSL, Subsistema de Windows para Linux en Canonical) compartió con la comunidad de Linux mediante un Tuit, sobre el trabajo en el cual se encontraba dedicando su tiempo «WinApps».

En el tuit compartido podíamos observar un pequeño fragmento de video en el cual se mostraba como de forma «casi nativa» podía ejecutar aplicaciones de Microsoft Office en su escritorio de Ubuntu.

Tal y como se mostraba parecían ser aplicaciones nativas de Windows en un contenedor o VM dentro de Ubuntu. Sin embargo, no surgieron detalles sobre cómo se logró esto y solo quedaron las dudas durante varios meses, pues Hayden Barnes menciono que no compartiría el trabajo al público hasta que considerara cierta estabilidad.

En lugar de esperar a que esto suceda, WinApps se creó como una forma sencilla de un comando para incluir aplicaciones que se ejecutan dentro de una máquina virtual (o en cualquier servidor RDP) directamente en GNOME como si fueran aplicaciones nativas. 

Ahora, meses después del anuncio, por fin se dio a conocer al público tanto el proyecto como el código fuente el cual está disponible en GitHub, así como las instrucciones para poder implementar WinApps en nuestro sistema.

Como tal, vale la pena mencionar que WinApps fue apenas liberado y la estabilidad del proyecto aún no es buena, además de que es el principio de lo que puede ser un gran desarrollo, además de que aún es considerado como un proyecto personal de Curtis, puede verse como un competidor de otras herramientas que ya permiten ejecutar aplicaciones de Windows en Linux, como Wine. 

Además, se debe tener en cuenta que en todo momento WinApps trabaja bajo una VM con Windows 10, por lo que el proyecto es totalmente diferente a lo que se esperaría (ya que muchos pensarían que trabajaría como Wine).

En el repositorio se explica que WinApps funciona de la siguiente manera:

WinApps funciona mediante:

Ejecución de un servidor RDP de Windows en un contenedor de VM en segundo plano
Comprobación del servidor RDP para las aplicaciones instaladas como Microsoft Office
Si esos programas están instalados, crea accesos directos que aprovechan FreeRDP tanto para la CLI como para la bandeja de GNOME
Se puede acceder a los archivos en su directorio de inicio a través del \\tsclient\homemontaje dentro de la VM
También puede hacer clic con el botón derecho en cualquier archivo de su directorio de inicio para abrirlo con una aplicación

En estos momentos la lista de aplicaciones que ya son compatibles son las siguientes:

A continuación está impulsada por la comunidad y, por lo tanto, es posible que el equipo de WinApps no haya probado muchas aplicaciones.

Aplicaciones actualmente compatibles

  • Internet Explorer 11 (solo porque sí)
  • Microsoft Access (2016)
  • Microsoft Access (2019)
  • Microsoft Access (Office 365)
  • Microsoft Excel (2016)
  • Microsoft Excel (2019)
  • Microsoft Excel (Office 365)
  • Microsoft Word (2016)
  • Microsoft Word (2019)
  • Microsoft Word (Office 365)
  • Microsoft OneNote (2016)
  • Microsoft OneNote (2019)
  • Microsoft OneNote (Office 365)
  • Microsoft Outlook (2016)
  • Microsoft Outlook (2019)
  • Microsoft Outlook (Office 365)
  • Microsoft PowerPoint (2016)
  • Microsoft PowerPoint (2019)
  • Microsoft PowerPoint (Office 365)
  • Editor de Microsoft (2016)
  • Editor de Microsoft (2019)
  • Editor de Microsoft (Office 365)

Como tal, el que trabaje bajo una VM pudo haber desalentado a muchos, pues básicamente es mas sencillo trabajar bajo una instalación de Windows en una máquina virtual.

Pero lo interesante del proyecto es que WinApps se limita a trabajar solo con elementos clave y deja de lado muchos servicios y aplicaciones que consumirían mucho mas memoria del equipo. Aun que como tal, vale la pena probar y dar seguimiento al proyecto.

¿Como instalar WinApps en Linux?

Finalmente, para quienes estén interesados en poder probar el proyecto en su sistema, podrán implementar WinApps en su sistema siguiendo las instrucciones que se detallan en el repositorio, el cual puedes acceder desde el siguiente enlace.

En él también podrán encontrar documentación sobre el proyecto, así como también información sobre como probar nuevas aplicaciones y en él, también podrás contribuir con la información sobre las aplicaciones que hayas probado y no se encuentren en la lista.

from Linux Adictos