Titulo:"Error de seguridad de Oracle Access Manager tan grave que permite que

cualquiera acceda a datos protegidos"

Un error que Oracle parch� recientemente rompi� la funcionalidad principal de

Oracle Access Manager (OAM), que solo deber�a dar a los usuarios autorizados acceso
a datos empresariales protegidos.

Sin embargo, los investigadores de la firma de seguridad austr�aca SEC-Consult

encontraron un error en el formato criptogr�fico de OAM que les permiti� crear
tokens de sesi�n para cualquier usuario, que el atacante podr�a usar para hacerse
pasar por cualquier usuario leg�timo y acceder a las aplicaciones web que OAM
deber�a proteger.

"Adem�s, el proceso de creaci�n de cookies de sesi�n nos permite crear una cookie
de sesi�n para un nombre de usuario arbitrario, lo que nos permite suplantar a
cualquier usuario conocido por OAM".

Titulo:Una falla de seguridad cr�tica en el popular software industrial pone a las

plantas de energ�a en riesgo

Una vulnerabilidad grave en un software de control industrial ampliamente utilizado

podr�a haberse utilizado para interrumpir y cerrar plantas de energ�a y otra
infraestructura cr�tica.

Los investigadores de la firma de seguridad Tenable encontraron la falla en el

popular software Schneider Electric, utilizado en las industrias de fabricaci�n y
energ�a, que si se explota podr�a haber permitido a un atacante experto atacar los
sistemas en la red.

Es la �ltima vulnerabilidad que arriesga un ataque al n�cleo de las operaciones de

cualquier planta principal en un momento en que estos sistemas se han convertido en
un objetivo mayor en los �ltimos a�os. El informe sigue a una reciente
advertencia , emitida por el FBI y Homeland Security, de hackers rusos.

El software afectado de Schneider, InduSoft Web Studio e InTouch Machine Edition,

act�a como middleware entre los dispositivos industriales y sus operadores humanos.
Se utiliza para automatizar las diversas partes m�viles de una planta de energ�a o
unidad de fabricaci�n, manteniendo un registro de los sensores de recolecci�n de
datos y los sistemas de control.

Pero Tenable descubri� que un error en ese software central podr�a dejar expuesta
una planta entera.

Un atacante puede, sin necesidad de una contrase�a, enviar un dise�o de paquete de

datos malicioso para forzar un desbordamiento del b�fer de la pila, agotando de
hecho la direcci�n de la memoria, permitiendo al atacante leer y escribir c�digo
arbitrario en un sistema vulnerable.

Eso puede llevar a un "compromiso total" del servidor afectado, dijo Tom Parsons,
jefe de Tenable Research, en un correo electr�nico a ZDNet .

Explic� que el ataque de desbordamiento de b�fer basado en la pila se puede

aprovechar de varias maneras maliciosas. En primer lugar, un atacante puede usar la
vulnerabilidad para desencadenar un evento de denegaci�n de servicio al bloquear el
software, bloqueando a los administradores remotos de sus operaciones centrales. El
error tambi�n se puede utilizar para obtener un punto de apoyo m�s dentro de la
red, as� como otros dispositivos industriales, o incluso enviar instrucciones a
algunos sistemas de control f�sico en la planta o unidad.
Parsons dijo que el m�todo de ataque fue relativamente f�cil, requiriendo solo un
caparaz�n y una conexi�n a internet.

El accidente fatal que mat� a la peatona Elaine Herzberg en Tempe, Arizona, en

marzo se produjo debido a un error de software en la tecnolog�a de auto conducci�n
de Uber, informa Amir Efrati de The Information el lunes . Seg�n dos fuentes
an�nimas que hablaron con Efrati, los sensores de Uber, de hecho, detectaron a
Herzberg cuando cruz� la calle con su bicicleta. Desafortunadamente, el software la
clasific� como un "falso positivo" y decidi� que no era necesario que se detuviera
por ella.

Distinguir entre objetos reales e ilusorios es uno de los desaf�os m�s b�sicos para
el desarrollo de un software de autom�vil aut�nomo. El software necesita detectar
objetos como autom�viles, peatones y rocas grandes en su camino y detenerse o
desviarse para evitarlos. Sin embargo, puede haber otros objetos, como una bolsa de
pl�stico en la carretera o un bote de basura en la acera, que un autom�vil puede
ignorar con seguridad. Las anomal�as del sensor tambi�n pueden provocar que el
software detecte objetos aparentes donde no existen objetos realmente.

Titulo:error de software llevado a la muerte en el accidente de auto-conducci�n de

Uber

Los dise�adores de software enfrentan una compensaci�n b�sica aqu�. Si el software

est� programado para ser demasiado cauteloso, el viaje ser� lento y espasm�dico, ya
que el auto se ralentiza constantemente en busca de objetos que no representen una
amenaza para el autom�vil o que no est�n all� en absoluto. Ajustar el software en
la direcci�n opuesta producir� un desplazamiento suave la mayor parte del tiempo,
pero con el riesgo de que el software ocasionalmente ignore un objeto real. Seg�n
Efrati, eso fue lo que sucedi� en Tempe en marzo, y desafortunadamente el "objeto
real" era un ser humano.