Enlaces de la SECmana - 121

• Nueva versión de WebGoat 5.4, la aplicación web J2EE con vulnerabilidades para realizar pruebas de seguridad sobre ella, perteneciente a OWASP.
• Nils Juenemann, investigador y contribuidor de vulnerabilidades para Google+, explica en su blog como ha conseguido donar todo lo obtenido del Google Vulnerability Reward Program tras reportar un Cross-Site Scripting persistente y así apoyar la construcción de un nuevo colegio en Etiopía.
• Cómo obtener la dirección IP de un contacto de Skype, con un poco de Perl y una versión parcheada del cliente.
• Ya disponible el video del streaming que emitimos en el Security Blogger Summit 2012 del pasado 19 de abril, organizado por Panda Security.
• Polémica tras descubrir una puerta trasera muy accesible desde Internet en un equipamiento hardware en el que se ejecuta el sistema operativo Rugged, que actúa como los switches y hubs que conectan los controladores de lógica programable a las redes de ordenadores utilizadas para su envío de comandos. Aquí el post en Full-Disclosure que empezó todo.
• Genial post titulado "Pwning a Spammer's Keylogger" en el blog de Spiderlabs escrito por Rodel Mendrez en el que cuenta sus andanzas analizando un malware que resultó ser un keylogger, y del que pudo comprometer el servidor que recopilaba todas las capturas.
• En el blog de Taddong anuncian el comienzo del OWASP ZAP SmartCard Project, proyecto que pretende incluir soporte de diferentes métodos de autenticación e identificación digital de diferentes países (como el DNIe para España) dentro de la herramienta ZAP, y así permitir la auditoría de las aplicaciones web que hagan uso de dichos mecanismos.
• En HackTimes publican una colaboración de Óscar de Pedro en la que se cuenta una fuga de datos reportada a McAfee, que permitía a un usuario, aprovechando una vulnerabilidad en la ePO, con únicamente permisos para poder acceder a la ePO puede ver paneles de reporte donde obtener diversa información de otros equipos gestionados y de su actividad en lo que se refiere a alertas detectadas por la propia ePO, malware encontrado, número de sistemas y datos de los mismos como, por ejemplo, Sistema Operativo, dirección IP, nombre del usuario administrador, etc. En este enlace se puede ver el boletín de seguridad de McAfee en el que se menciona esta vulnerabilidad.
• Se filtra código fuente del producto ESX de VMWare, de entre 2003 y 2004, por parte de un hacker que dice haberlo obtenido tras comprometer una firma china, CEIE, que trabaja con el ejército chino. VMWare declara que como política de empresa, se suele compartir ciertas partes del código con diferentes empresas externas (algo que también hace Microsoft, por ejemplo...). Y que por tanto, existen otras partes que se podrían obtener de otros lugares.
• Grave vulnerabilidad en el sistema de recuperación de contraseñas de Microsoft MSN Hotmail, que permitía reiniciar la contraseña con valores elegidos por un atacante.

Etiquetas: secmana