Enlaces de la SECmana - 180

• Juego de 15 preguntas acerca de seguridad en aplicaciones web que conocemos a través del twitter de Christian López "phr0nak".
• En Fun Over IP enlazan al video demostración del exploit para McAfee ePolicy Orchestrator versión 4.6.5 y anteriores que permite, entre otras cosas, ejecución de comandos, subida de ficheros y robo de credenciales del directorio activo. Las vulnerabilidades corresponden con CVE-2013-0140 y CVE-2013-0141.
• Estudio (pdf) de Andreas Kurtz, Daniel Metz y Felix C. Freiling para la Universidad de Erlangen sobre la obtención de contraseñas establecidas en iOS para compartir conexión a internet mediante Wifi mediante ataques de diccionarios pre-generados (iOS App Hotspot Cracker).
• Bug en Spotify permitió el secuestro de cuentas de usuario debido a un incorrecto procesamiento de caracteres Unicode a la hora de registrar usuarios. Lo explican desde el propio blog de labs.spotify.com tras el aviso de un usuario en sus foros, que permitió comenzar con esta "investigación".
• Microsoft se apunta a la moda de los Bug Bounty Programs como han hecho muchos otros, ofreciendo dinero por bugs que permitan evadir mecanismos de mitigación, diseñar mecanismos de defensa y bugs para IE11 Preview.
• Actualización del producto de Tarlogic Acrylic WiFi (disponible en 32 bits ó 64 bits) para análisis de seguridad y monitorización de redes inalámbricas
• Como se anuncia en Slashdot, Oracle anuncia el fin de Java SE 6, por lo que ya no publicará actualizaciones para esta rama del producto.
• La AEPD abre un procedimiento sancionador a Google por la presunta comisión de seis infracciones a la LOPD en España.
• Facebook expone información de 6 millones de usuarios a través de su aplicación de descarga de información personal. Parece ser que el bug lleva nada más y nada menos que un año, pero nadie se habría percatado.

Etiquetas: secmana