1) ¿Asus realmente ha encontrado una solución de hardware para los lectores de tarjetas SD defectuosos? Si alguien RMA su aliado para Asus de esta manera, ¿obtendrá un lector de tarjetas SD que ya no falla?

Nuestro compromiso es ayudar a todos los clientes de forma eficaz. Si algún usuario sospecha que está teniendo problemas con sus productos, lo alentamos a comunicarse y utilizar nuestro proceso RMA según sea necesario. Pueden esperar que les proporcionemos una resolución adecuada.

2) ¿Qué porcentaje de sistemas ROG Ally tienen este problema?

No podemos comentar sobre esto en este momento.

3) Suponiendo que aún no haya ninguna reparación de hardware, ¿por qué la garantía solo se ha extendido por un año?

Disculpas Sean, pero no podemos comentar sobre suposiciones.

4) ¿Qué planea hacer Asus para los clientes en territorios fuera de EE. UU.? ¿Veremos extensiones de garantía y reembolsos de tarjetas SD en otros lugares?

Las políticas de servicio varían de una región a otra y están sujetas a las leyes y regulaciones locales. Si bien no puedo ofrecerle una declaración general que abarque todas las operaciones globales, puede estar seguro de que nuestro enfoque es la calidad y nuestro objetivo es responder eficazmente a las inquietudes de nuestros usuarios, independientemente de su ubicación.

El hardware vendido durante años por empresas como Intel y Lenovo contiene una vulnerabilidad explotable de forma remota que nunca se solucionará. La causa: un problema en la cadena de suministro que involucró un paquete de software y hardware de código abierto de múltiples fabricantes que lo incorporaron directa o indirectamente a sus productos.

Investigadores de la firma de seguridad Binarly han confirmado que el error ha provocado que Intel, Lenovo y Supermicro envíen hardware de servidor que contiene una vulnerabilidad que puede explotarse para revelar información crítica para la seguridad. Sin embargo, los investigadores advirtieron que cualquier hardware que incorpore ciertas generaciones de controladores de administración de placa base fabricados por AMI con sede en Duluth, Georgia o AETN con sede en Taiwán también se ve afectado.

Cadena de tontos

Los BMC son pequeñas computadoras soldadas a la placa base de los servidores que permiten a los centros en la nube, y a veces a sus clientes, agilizar la administración remota de vastas flotas de servidores. Permiten a los administradores reinstalar sistemas operativos, instalar y desinstalar aplicaciones de forma remota y controlar casi todos los demás aspectos del sistema, incluso cuando está apagado. Los BMC proporcionan lo que en la industria se conoce como gestión de sistemas “sin luces”. AMI y AETN son dos de varios fabricantes de BMC.

Durante años, BMC de múltiples fabricantes han incorporado versiones vulnerables de software de código abierto conocido como lighttpd. Lighttpd es un servidor web rápido y liviano que es compatible con varias plataformas de hardware y software. Se utiliza en todo tipo de productos, incluso en dispositivos integrados como BMC, para permitir a los administradores remotos controlar servidores de forma remota con solicitudes HTTP.

En 2018, los desarrolladores de lighttpd lanzaron una nueva versión que solucionaba «varios escenarios de uso después de la liberación», una vaga referencia a una clase de vulnerabilidad que puede explotarse de forma remota para alterar las funciones de memoria sensibles a la seguridad del software afectado. A pesar de la descripción, la actualización no utilizó la palabra «vulnerabilidad» y no incluyó un número de seguimiento de vulnerabilidad CVE como es habitual.

Los fabricantes de BMC, incluidos AMI y ATEN, estaban utilizando versiones afectadas de lighttpd cuando se solucionó la vulnerabilidad y continuaron haciéndolo durante años, dijeron los investigadores de Binarly. Los fabricantes de servidores, a su vez, continuaron instalando BMC vulnerables en su hardware durante el mismo período de varios años. Binarly ha identificado tres de esos fabricantes de servidores: Intel, Lenovo y Supermicro. El hardware vendido por Intel el año pasado se ve afectado. Binarly dijo que tanto Intel como Lenovo no tienen planes de publicar correcciones porque ya no admiten el hardware afectado. Los productos afectados de Supermicro siguen siendo compatibles.

«Todos estos años, [the lighttpd vulnerability] «Estaba presente dentro del firmware y a nadie le importó actualizar uno de los componentes de terceros utilizados para crear esta imagen de firmware», escribieron los investigadores de Binarly el jueves. “Este es otro ejemplo perfecto de inconsistencias en la cadena de suministro de firmware. Un componente de terceros muy desactualizado presente en la última versión del firmware, lo que genera un riesgo adicional para los usuarios finales. ¿Hay más sistemas que utilizan la versión vulnerable de lighttpd en toda la industria?

Derrotando a ASLR

La vulnerabilidad permite a los piratas informáticos identificar las direcciones de memoria responsables de manejar funciones clave. Los sistemas operativos se esfuerzan por aleatorizar y ocultar estas ubicaciones para que no puedan usarse en vulnerabilidades de software. Al encadenar un exploit para la vulnerabilidad lighttpd con una vulnerabilidad separada, los piratas informáticos podrían anular esta protección estándar, que se conoce como aleatorización del diseño del espacio de direcciones. El encadenamiento de dos o más exploits se ha convertido en una característica común de los ataques de piratería hoy en día, a medida que los fabricantes de software continúan agregando protecciones antiexplotación a su código.

Es difícil rastrear la cadena de suministro de múltiples BMC utilizados en múltiples servidores. Hasta ahora, Binarly ha identificado el BMC MegaRAC de AMI como uno de los BMC vulnerables. La empresa de seguridad ha confirmado que el AMI BMC está contenido en el hardware Intel Server System M70KLP. La información sobre BMC de ATEN o hardware de Lenovo y Supermicro no está disponible en este momento. La vulnerabilidad está presente en cualquier hardware que utilice las versiones 1.4.35, 1.4.45 y 1.4.51 de lighttpd.

En un comunicado, los funcionarios de Lenovo escribieron:

Lenovo es consciente de la preocupación de AMI MegaRAC identificada por Binarly. Estamos trabajando con nuestro proveedor para identificar cualquier impacto potencial en los productos Lenovo. Los servidores ThinkSystem con XClarity Controller (XCC) y los servidores System x con Integrated Management Module v2 (IMM2) no utilizan MegaRAC y no se ven afectados.

Un representante de AMI se negó a comentar sobre la vulnerabilidad, pero agregó las declaraciones estándar sobre que la seguridad es una prioridad importante. Un representante de Intel confirmó la exactitud del informe de Binarly. Los representantes de Supermicro no respondieron a un correo electrónico en busca de confirmación del informe.

La falla lighttpd es lo que se conoce como una vulnerabilidad de lectura fuera de límites causada por errores en la lógica de análisis de solicitudes HTTP. Los piratas informáticos pueden explotarlo mediante solicitudes HTTP diseñadas con fines malintencionados.

«Un atacante potencial puede aprovechar esta vulnerabilidad para leer la memoria del proceso del servidor web Lighttpd», escribieron los investigadores de Binarly en un aviso. «Esto puede conducir a la filtración de datos confidenciales, como direcciones de memoria, que pueden usarse para eludir mecanismos de seguridad como ASLR». Los avisos están disponibles aquí, aquí y aquí.

Este no es el primer error importante en la cadena de suministro que Binarly descubre. En diciembre, la empresa reveló LogoFail, un ataque que ejecuta firmware malicioso al principio de la secuencia de inicio como resultado de firmware obsoleto utilizado en prácticamente todas las interfaces de firmware extensibles unificadas, que son responsables de iniciar dispositivos modernos que ejecutan Windows o Linux.

Las personas u organizaciones que utilicen equipos Supermicro deben consultar con el fabricante para encontrar información sobre posibles soluciones. Sin soluciones disponibles de Intel o Lenovo, no hay mucho que los usuarios de este hardware afectado puedan hacer. Sin embargo, vale la pena mencionar explícitamente que la gravedad de la vulnerabilidad lighttpd es sólo moderada y no tiene valor a menos que un atacante tenga un exploit funcional para una vulnerabilidad mucho más grave. En general, los BMC deben habilitarse sólo cuando sea necesario y bloquearse con cuidado, ya que permiten un control extraordinario de flotas enteras de servidores con simples solicitudes HTTP enviadas a través de Internet.

Si estabas preocupado por Emma Stone y su vestido roto tras su aparición en el escenario de los Oscar de esta noche para aceptar el premio a la Mejor Actriz, no temas.

“Me volvieron a coser”, compartió la estrella de Cosas pobres, Adaptación de Searchlight de la novela de Alasdair Gray. “Justo cuando regresé[stage]me volvieron a coser, lo cual fue maravilloso”.

Stone destacó el problema con su vestido mientras estaba en el escenario, y compartió que creía que lo había roto mientras cantaba y bailaba durante la actuación de Barbie canta “I’m Just Ken” de su nominada al Oscar La La Tierra coprotagonista, Ryan Gosling. Entre bastidores, afirmó que esta creencia era genuina y agregó: “Me sorprendió mucho Ryan y lo que estaba haciendo, y ese número me dejó alucinado. Estaba allí, simplemente lo intentaba y suceden cosas”.

Además, Stone habló sobre el significado que ella Cosas pobres El personaje que Bella Baxter tiene para ella, en comparación con todos los que ha interpretado antes. «Creo que la oportunidad de interpretar a una persona que comienza desde cero, pero de una manera totalmente metafórica, que no puede suceder en la vida real, que está adquiriendo lenguaje y habilidades a un ritmo rápido todos los días y llegando a trazar ese Por supuesto, y me di cuenta de que estaba llena de alegría, curiosidad y amor verdadero no solo por lo bueno sino también por los desafíos de la vida, y estaba fascinada por todo ello. Fue una lección increíble para llevar conmigo y tratar de vivirla. en los zapatos de todos los días”, dijo la actriz. “Así que realmente extraño interpretarla desde que terminamos la filmación, que fue hace mucho tiempo, como hace dos años y medio. Extraño a Bella y estoy muy agradecido de que hayamos podido celebrar la película esta noche y durante estos últimos meses”.

Reuniendo a Stone con el cineasta griego Yorgos Lanthimos y el guionista Tony McNamara tras su colaboración en una comedia negra de época. el favoritoque obtuvo 10 nominaciones al Oscar en 2018, Cosas pobres observa cómo Bella, la joven victoriana de Stone, vuelve a la vida gracias al brillante y poco ortodoxo científico Dr. Godwin Baxter (Willem Dafoe). Bajo la protección de Baxter, esta mujer con mente de niña está ansiosa por aprender. Pero a medida que Bella tiene hambre de la mundanalidad que le falta, y de sexo, específicamente, se escapa con Duncan Wedderburn (Mark Ruffalo), un abogado hábil y libertino, en una aventura vertiginosa a través de los continentes. Libre de los prejuicios de su época, se mantiene firme en su propósito de defender la igualdad y la liberación.

Mientras que Stone y Asesinos de la luna de flores’Si bien Lily Gladstone había sido considerada durante mucho tiempo como la favorita a Mejor Actriz, otras contendientes de esta noche incluían a Annette Bening (Nyad)Sandra Huller, (Anatomía de una caída), y Carey Mulligan (Maestro).

Cosas pobres Ganó un total de cuatro premios Oscar, imponiéndose también en las categorías de Mejor Diseño de Producción, Diseño de Vestuario y Maquillaje y Peluquería. La película obtuvo la segunda mayor cantidad de premios Oscar de este año, siguiendo los pasos de Christopher Nolan. oppenheimerinscribiéndose además en las categorías de Mejor Película, Dirección, Guión Adaptado, Actor de Reparto, Fotografía, Montaje y Música Original.

Lo siguiente para Lanthimos y Stone es tipos de bondad, una película de antología aún sin fecha que también será distribuida por Searchlight, que también está protagonizada por Jesse Plemons, Dafoe, Margaret Qualley, Hong Chau, Joe Alwyn, Mamoudou Athie y Hunter Schafer. No se ha fijado una fecha de lanzamiento para ese título.

Vea el video del tiempo de Stone detrás del escenario en los Oscar arriba.

Si conduces hasta las afueras de Night City en Cyberpunk 2077, puedes encontrar una iglesia polvorienta abandonada encajada entre almacenes industriales. Es silencioso, salvo por el zumbido de los drones que vuelan sobre nuestras cabezas. Escuché que había un huevo de Pascua de Doom aquí (gracias Kotaku) y efectivamente, lo hay. Sin embargo, como jugador nuevo, no esperaba caer en una de las madrigueras más profundas del juego. Antes de comenzar, aquí es donde encontrarlo:

El huevo de Pascua en sí es bastante lindo, aunque divertido cuando empiezas a pensar en él. Es una interpretación al estilo Doom de la fuga de Johnny Silverhand de la Torre Arasaka, que es, canónicamente, de bastante mal gusto. Según el reglamento básico de Cyberpunk RED, la bomba mató a más de medio millón de personas cuando Silverhand la detonó en 2023.

Jugué un par de rondas. Se trata prácticamente de unos pocos pasillos lineales con modelos enemigos golpeados por un filtro de pixelación. Bueno, eso es lo que yo pensamiento, al menos. Con curiosidad por la configuración al lado de la máquina recreativa, me acerqué a la computadora, leí algunos correos electrónicos y… espera, reconozco ese número. Oh. Oh, no.

Resulta que la pequeña y tonta referencia de Doom también contiene información sobre uno de los misterios más antiguos del juego, uno que es lo suficientemente grande como para tener su propio subreddit: FF06B5. Los netrunners entre ustedes podrían reconocer esto como el código HTML para magenta, pero también ha sido un misterio que ha estado llevando a la comunidad de Cyberpunk 2077 a la ciberpsicosis durante tres años completos.

ASUS ha anunciado su última BIOS 323 para la consola portátil ROG Ally que agrega algunas cosas pero no soluciona las fallas recientes de la tarjeta SD.

El nuevo BIOS de ASUS mejoró el rendimiento en el «Modo de rendimiento», agrega soporte de 30 W, pero ¿dónde está la solución de la tarjeta SD?

Los cuatro cambios principales que incluye el nuevo BIOS son principalmente optimizaciones y adiciones en lo que respecta a los modos de rendimiento y potencia. Comenzando con la lista, hay soporte para un nuevo modo de 30 W que se habilitará cuando la computadora de mano ROG Ally se conecte a un adaptador de suministro de energía de 65 W o más o un concentrador Tipo-C. Esto permitirá a los usuarios cargar el dispositivo en su modo turbo completo de 30 W en lugar de un vataje más bajo que era una preocupación para muchos usuarios.

Esto no permitirá que los usuarios carguen en el modo de potencia total de 30 W, incluso si el adaptador, el concentrador o el cargador no son lo suficientemente potentes. ASUS afirma que esto puede suceder con algunas bases y cargadores y no con otros, según su uso de energía nominal. Esto eventualmente conducirá a que la batería se agote a pesar de que el cargador esté conectado y, si ese es el caso, es posible que deba reemplazarlo por uno mejor.

Además de eso, la computadora de mano ASUS ROG Ally también solucionará el problema de reinicio de la configuración «Memoria asignada a la GPU», que ahora conservará su valor anterior. La retroiluminación mínima del panel también se actualizó de 25 a 10 nits, lo que mejoraría la usabilidad en entornos más oscuros. Además de eso, la computadora de mano también recibirá optimizaciones generales que conducen a un mejor rendimiento en el perfil «Modo de rendimiento», que es cuando el dispositivo está conectado a la pared. En resumen, ASUS ha realizado los siguientes cambios:

• Mejora de UX: se agregó compatibilidad con 30 W al conectar adaptadores PD de 65 W o de mayor vataje o concentrador tipo C.
• Mejora de UX: se modificó el valor mínimo de retroiluminación del panel de 25 unidades a 10 unidades para mejorar la usabilidad en entornos oscuros.
• Mejora de UX: en futuras actualizaciones de BIOS, la configuración «Memoria asignada a GPU» no se restablecerá a los valores predeterminados; ahora mantendrá su valor anterior.
• Mejora de UX: rendimiento optimizado en el modo de rendimiento cuando está conectado.

Sin embargo, en todo esto, ASUS aún no ha proporcionado una solución para el mal funcionamiento del lector de tarjetas SD causado por la solución térmica, que es una gran preocupación para muchos usuarios. ASUS reconoció el problema y dijo que había una solución en camino, pero parece que los usuarios tendrán que esperar un poco más.

Reparar su teléfono puede ser una tarea desalentadora, y no todos somos lo suficientemente expertos en tecnología como para seguir adelante y hacerlo por nuestra cuenta. Entonces, cuando se trata de enviar un teléfono para la garantía, hay muchas cosas en las que la gente piensa, y también hay muchas preocupaciones válidas. Después de todo, su privacidad, así como la seguridad del dispositivo, son esenciales. Afortunadamente, Samsung ha lanzado un nuevo video que muestra lo que sucede detrás de escena cuando envías tu teléfono a reparar.

¿Está pensando en enviar su dispositivo Samsung a reparar? No te preocupes, tu dispositivo está en buenas manos.

El departamento de Atención al cliente de Samsung ha publicado un nuevo video que muestra cómo se maneja su teléfono cada vez que lo envía a reparar. El video muestra varios centros de reparación, incluidas las ofertas sin cita previa y por correo, y también hay ofertas en el hogar en algunas regiones.

La opción sin cita previa tiene un técnico certificado por Samsung que maneja el proceso de reparación en el sitio. Esto implica que el técnico revise los problemas del teléfono y use piezas certificadas para reemplazar lo que sea necesario. Sin embargo, si decide enviar su teléfono por correo a Samsung, el proceso es ligeramente diferente. Puedes echar un vistazo al vídeo a continuación:

Cuando envía su teléfono por correo a Samsung para que lo reparen, la empresa toma el proceso de reparación como una línea de ensamblaje. Esto significa que el teléfono primero pasará por un control de calidad, donde se evaluará la condición del dispositivo. A continuación, se entregará para su desmontaje y, a partir de ahí, pasará por la reparación, el montaje y, al final, un control de calidad saliente para garantizar que todas las reparaciones realizadas en el dispositivo estén en las mejores condiciones y con todos los las características están funcionando.

Por último, pero no menos importante, Samsung también ofrece un servicio de reparación a domicilio donde las camionetas de reparación móvil vienen a usted; el proceso funciona de manera similar al proceso sin cita previa, donde un técnico certificado inspecciona su teléfono antes de proceder con las reparaciones. Lo mejor es que si quieres reparar tu teléfono, puedes obtener hasta un 30% de descuento en Samsung Care Plus desde hoy hasta el 21 de mayo, a finales de este mes.

Ahora, si tiene miedo de enviar su dispositivo Samsung a reparar debido a la privacidad y la naturaleza confidencial de los datos almacenados en su teléfono, los dispositivos tienen un modo de mantenimiento en el que puede poner el dispositivo antes de enviarlo a reparar. Simplemente habilite esta función antes de entregársela a Samsung y estará seguro de que sus datos permanecerán protegidos.

Fuente: Sala de prensa de Samsung

Aruba Networks ha publicado una solución para seis vulnerabilidades críticas encontradas en varios de sus productos y ahora insta a los usuarios a aplicar el parche de inmediato y evitar ser atacados por ciberdelincuentes.

Todas las vulnerabilidades tienen una puntuación de gravedad de 9,8, lo que les da la calificación de «críticas».

Google ha revelado varias fallas de seguridad para los teléfonos que tienen GPU Mali, como los que tienen SoC Exynos. El equipo Project Zero de la compañía dice que señaló los problemas a ARM (que diseña las GPU) en el verano. ARM resolvió los problemas por su parte en julio y agosto. Sin embargo, los fabricantes de teléfonos inteligentes, incluidos Samsung, Xiaomi, Oppo y el propio Google, no habían implementado parches para corregir las vulnerabilidades a principios de esta semana, dijo Project Zero.

Los investigadores identificaron cinco problemas nuevos en junio y julio y los señalaron rápidamente a ARM. «Uno de estos problemas condujo a la corrupción de la memoria del núcleo, uno condujo a que las direcciones de memoria física se revelaran al espacio de usuario y los tres restantes condujeron a una condición de uso después de libre de la página física», escribió Ian Beer de Project Zero en una publicación de blog. «Esto permitiría que un atacante continúe leyendo y escribiendo páginas físicas después de que hayan sido devueltas al sistema».

Beer señaló que sería posible que un pirata informático obtuviera acceso completo a un sistema, ya que podría eludir el modelo de permisos en Android y obtener un «acceso amplio» a los datos de un usuario. El atacante podría hacerlo forzando al kernel a reutilizar las páginas físicas mencionadas anteriormente como tablas de páginas.

Project Zero descubrió que, tres meses después de que ARM solucionó estos problemas, todos los dispositivos de prueba del equipo aún eran vulnerables a las fallas. Hasta el martes, los problemas no se mencionaron «en ningún boletín de seguridad posterior» de los fabricantes de Android.

Engadget se ha puesto en contacto con Google, Samsung, Oppo y Xiaomi para preguntar cuándo implementarán las correcciones en sus dispositivos Android y por qué les ha llevado tanto tiempo hacerlo. Como SamMobile notas, los dispositivos de la serie Galaxy S22 de Samsung y los teléfonos con tecnología Snapdragon de la compañía no se ven afectados por estas vulnerabilidades.

El comienzo de octubre trae consigo muchas cifras de ventas del tercer trimestre para los fabricantes de automóviles, pero uno de los datos más fascinantes del lanzamiento de hoy de Toyota es el hecho de que vendió no Modelos bZ4X en septiembre. Ninguna. Nada. Cero. Eso es porque Toyota todavía no ha encontrado una manera de arreglar los neumáticos desbocados del bZ4X.

El gemelo del Toyota bZ4X, el Subaru Solterra, también ha sido retirado del mercado por el mismo problema. El Solterra no tieneTodavía no se ha lanzado oficialmente en los Estados Unidos, por eso escuchamos un poco menos sobre eso.

Puedes consultar los datos en sitio web de Toyotao por debajo:

El bZ4X es Toyota’Es el primer intento de construir un automóvil eléctrico, y no ha ido del todo bien. el coche no tiene sido exactamente a golpe estelarya sea que esté considerando el costo, el rango, su nombre tonto, o el hecho de que Toyota ha agotado su créditos federales para vehículos eléctricos. También tiene un gran defecto fatal: sus ruedas se caen constantemente.

Toyota emitió un retiro en junio de este añoaconsejando a los propietarios que dejen de conducir su vehículo de inmediato porque, en palabras de la compañía, «después de un uso de poco kilometraje, todos los pernos del cubo de la rueda pueden aflojarse hasta el punto en que la rueda puede desprenderse del vehículo».

En lenguaje Toyota, un «perno de cubo» no es el perno que une el cubo al muñón de la dirección; más bien, hace referencia a los «pernos de orejeta», que sujetan la rueda al conjunto del cubo. Básicamente, esta parte específica puede desgastarse fácilmente, lo que resulta en la caída de toda la rueda.

Pero cuando pasó un mes sin ninguna solución, Elektrek informó que los propietarios de bZ4X recibieron un aviso de recompra de Toyota. y ahora eso otro Ha pasado un mes, el stop-sale ha continuado y no parece que haya un final a la vista.

La tecnología de recuperaciónicamente afectó a 2.700 autos, lo cual no es un tonelada — pero ese es un número increíblemente desafortunado cuando consideras el hecho de que fue la primera producción completa del primer vehículo eléctrico de Toyota. Es especialmente desafortunado porque probablemente esté comprando un Toyota más por su confiabilidad que por su dinámica de conducción estelar, y Toyota lo ha reforzado totalmente con una parte que ni siquiera es específica para vehículos eléctricos.

Entonces, por el momento, el bZ4X seguirá siendo un espacio vacío en las cifras de ventas de Toyota, y un peligro para los conductores.

Los desarrolladores del protocolo de mensajería Matrix de código abierto publicaron una actualización el miércoles para corregir las vulnerabilidades críticas de cifrado de extremo a extremo que subvierten las garantías de confidencialidad y autenticación que han sido clave para el ascenso meteórico de la plataforma.

Matrix es un ecosistema en expansión de clientes y servidores de chat y colaboración de código abierto y propietarios que son totalmente interoperables. La aplicación más conocida de esta familia es Element, un cliente de chat para Windows, macOS, iOS y Android, pero también hay una gran variedad de otros miembros.

Matrix tiene como objetivo hacer para la comunicación en tiempo real lo que el estándar SMTP hace para el correo electrónico, que es proporcionar un protocolo federado que permite a los clientes conectados a diferentes servidores intercambiar mensajes entre sí. Sin embargo, a diferencia de SMTP, Matrix ofrece un sólido cifrado de extremo a extremo, o E2EE, diseñado para garantizar que los mensajes no puedan falsificarse y que solo los remitentes y los receptores de los mensajes puedan leer el contenido.

Matthew Hodgson, cofundador y líder de proyecto de Matrix y CEO y CTO de Element, el fabricante de la aplicación insignia de Element, dijo en un correo electrónico que, según estimaciones conservadoras, hay alrededor de 69 millones de cuentas de Matrix repartidas en unos 100 000 servidores. La compañía actualmente ve alrededor de 2,5 millones de usuarios activos mensuales que utilizan su servidor Matrix.org, aunque dijo que es probable que esto también sea una subestimación. Entre los cientos de organizaciones que anuncian planes para construir sistemas de mensajería internos basados ​​en Matrix se encuentran Mozilla, KDE y los gobiernos de Francia y Alemania.

El miércoles, un equipo de investigadores publicó una investigación que informa sobre una serie de vulnerabilidades que socavan las garantías de autenticación y confidencialidad de Matrix. Todos los ataques descritos por los investigadores requieren la ayuda de un servidor doméstico malicioso o comprometido que se dirige a los usuarios que se conectan a él. En algunos casos, hay formas para que los usuarios experimentados detecten que se está produciendo un ataque.

Los investigadores informaron en privado las vulnerabilidades a Matrix a principios de este año y acordaron una divulgación coordinada programada para el lanzamiento del miércoles por parte de Matrix de las actualizaciones que abordan las fallas más graves.

«Nuestros ataques permiten que un operador de servidor malicioso o alguien que obtenga el control de un servidor Matrix lea los mensajes de los usuarios y se haga pasar por ellos», escribieron los investigadores en un correo electrónico. «Matrix tiene como objetivo protegerse contra tal comportamiento al proporcionar cifrado de extremo a extremo, pero nuestros ataques resaltan fallas en el diseño de su protocolo y su Elemento de implementación de cliente principal».

Hodgson dijo que no está de acuerdo con la afirmación de los investigadores de que algunas de las vulnerabilidades residen en el propio protocolo de Matrix y afirma que todas son errores de implementación en la primera generación de aplicaciones de Matrix, que incluyen a Element. Dijo que una generación más nueva de aplicaciones Matrix, incluidas ElementX, Hydrogen y Third Room, no se ven afectadas. No hay indicios de que las vulnerabilidades hayan sido alguna vez explotadas activamente, agregó.