Enlaces de la SECmana - 222

• Desde el INTECO se publica una guía de seguridad para servicios DNS. Aquí la noticia y en este enlace el documento en formato PDF.
• Versión 2.3.0 de la herramienta OWASP ZAProxy, con multitud de novedades, entre las que destacan la creación de una versión reducida con menos funcionalidades (llamada Lite), pruebas de seguridad en client-side, mejora en métodos de autenticación, vectores de entrada, mejoras en la sección de análisis activo, etc. Se puede descargar en la sección de Descargas del proyecto.
• El grupo Detectify descubre una vulnerabilidad XXE en Google que permitía la lectura de ficheros en sus servidores de producción. Nadie es 100% seguro, por muy grande que sea o tenga recursos infinitos.
• En el blog del Maligno, fácil bug en Google Chrome que permitiría activar remotamente el micrófono del equipo mediante HTML5 y la API del navegador.
• Ejecución remota de código y escalada de privilegios en Sophos Web Protection Appliance, cuentan todos los detalles en el blog de Metasploit en Rapid7. Exploit en metasploit disponible, así como la descripción de su explotación de forma manual.
• El equipo de Cloudflare lanzó un reto durante esta semana relacionado con la vulnerabilidad  en openSSL Heartbleed para determinar si sería posible el robo de claves privadas SSL de sus servidores. Finalmente, dos personas (Fedor Indutny @indutny y Ilkka Mattila de NCSC-FI) pudieron conseguir la hazaña, si bien Cloudflare informó que pudiera haber sido posible tras el reinicio de sus servidores.
• En el blog de Ignacio Sorribas, Hardsec, cómo pasar un exploit de MiniHTTPD Server 1.2 a módulo de Metasploit. 
• Videos de las Jornadas de CiberDefensa (que tuvieron lugar los días 31 de Marzo, 1, 2 y 3 de Abril) disponibles
• Artículo "A vueltas con la seguridad de WhatsApp, Telegram y cia" de nuestro compañero Yago Jesús en el Huffington Post
• Actualización de seguridad para Wordpress, correspondiente con la versión 3.8.2, corrigiendo algunos fallos que permitirían publicar contenidos sin los permisos necesarios, generar cookies de autenticación, y casi 10 vulnerabilidades más.

Etiquetas: secmana