­Hola All!


Resumen de seguridad de 2014 (I)
--------------------------------

Termina el año y desde Hispasec un año más echamos la vista atrás para
recordar y analizar con perspectiva (al más puro estilo periodístico) lo
que ha sido 2014 en cuestión de seguridad informática. En cuatro
entregas (tres meses por entrega) destacaremos muy brevemente lo que
hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2014:

* Se descubre una vulnerabilidad que afectaba al servidor X11 desde
hacía 23 años. El fallo fue detectado tras procesar el código fuente a
través de la herramienta de análisis estático "cppcheck".

* Dentro de su ciclo habitual de actualizaciones Microsoft publica
cuatro boletines de seguridad, que solucionan 6 vulnerabilidades,
incluido un 0-day anunciado en noviembre de 2013. Adobe también corrige
dos vulnerabilidades en Adobe Reader, Acrobat y Flash Player y una actualización para Adobe Digital Editions. Apple, por su parte, corrige
25 vulnerabilidades en iTunes, algunas conocidas desde hacía más de dos
años.

* Se anuncia una vulnerabilidad en el navegador Google Chrome que podría permitir a un atacante remoto escuchar todas las conversaciones que se produzcan en el entorno del ordenador. Conversaciones, reuniones,
llamadas, etc. podrían quedar al alcance de cualquier atacante remoto.

* A finales de mes se confirma que el sitio blogs.perl.org (plataforma
de federación de blogs del lenguaje Perl), había sido víctima de una
intrusión. Los datos de casi 3000 cuentas de usuario quedaron
publicados.

Febrero 2013:

* Alcatel-Lucent publicado un informe en el que revela que las amenazas
para dispositivos móviles siguen creciendo, se estima en más de 11,6
millones de dispositivos infectados.

* Dentro de su ciclo habitual de actualizaciones Microsoft publica 7
boletines de seguridad, que solucionan 32 vulnerabilidades. La Fundación Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades. Adobe
publica dos actualizaciones para Adobe Flash Player y soluciona dos vulnerabilidades críticas en Shockwave Player.

* Microsoft confirma la existencia de un exploit 0-day que afecta a
Internet Explorer 9 y 10 y publica un aviso con un parche temporal.

Marzo 2014

* Se confirma la creación de un virus, con nombre Camaleon o Chameleon,
capaz de propagarse a través de redes WiFi entre puntos de acceso.

* Se descubre y parchea una vulnerabilidad en la implementación de TLS
(GnuTLS) que permitiría hacer pasar por válido un certificado falso.

* Dentro de su ciclo habitual de actualizaciones Microsoft publica cinco boletines de seguridad, que solucionan 23 vulnerabilidades. La Fundación Mozilla publica 18 boletines de seguridad y corrige 20 nuevas
vulnerabilidades.

* Se cumplen 10 años de la creación del Centro Criptológico Nacional,
ente adscrito al Centro Nacional de Inteligencia.

* Se celebra una nueva edición del Pwn2Own, concurso donde los
descubridores de vulnerabilidades muestran exploits para los principales navegadores y plugins. Internet Explorer, Firefox, Chrome y Safari, no
se libraron de los ataques y evidenciaron nuevas vulnerabilidades.

Opina sobre esta noticia: http://unaaldia.hispasec.com/2014/12/resumen-de-seguridad-de-2014-i.html#commen
ts

Más información:

una-al-dia (09/01/2014) Descubierta una vulnerabilidad que afectaba al servidor
X11 desde hace 23 años http://unaaldia.hispasec.com/2014/01/descubierta-una-vulnerabilidad-que.html

una-al-dia (15/01/2014) Boletines de seguridad de Microsoft en enero http://unaaldia.hispasec.com/2014/01/boletines-de-seguridad-de-microsoft-en.htm
l

una-al-dia (16/01/2014) Actualizaciones de seguridad para Adobe Reader y Flash http://unaaldia.hispasec.com/2014/01/actualizaciones-de-seguridad-para-adobe.ht
ml

una-al-dia (23/01/2014) Apple soluciona múltiples vulnerabilidades en iTunes, algunas de más de 2 años http://unaaldia.hispasec.com/2014/01/apple-soluciona-multiples.html

una-al-dia (24/01/2014) Chrome puede escuchar lo que dices http://unaaldia.hispasec.com/2014/01/chrome-puede-escuchar-lo-que-dices.html

una-al-dia (26/01/2014) Crónica de la intrusión en blogs.perl.org http://unaaldia.hispasec.com/2014/01/cronica-de-la-intrusion-en-blogsperlorg.ht
ml

una-al-dia (05/02/2014) Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades http://unaaldia.hispasec.com/2014/02/mozilla-publica-firefox-27-y-corrige-15.ht
ml

una-al-dia (12/02/2014) Adobe soluciona dos vulnerabilidades críticas en Shockwave Player http://unaaldia.hispasec.com/2014/02/adobe-soluciona-dos-vulnerabilidades.html

una-al-dia (06/02/2014) 11,6 millones de dispositivos móviles infectados según un informe de Alcatel-Lucent http://unaaldia.hispasec.com/2014/02/116-millones-de-dispositivos-moviles.html

una-al-dia (12/02/2014) Boletines de seguridad de Microsoft en febrero http://unaaldia.hispasec.com/2014/02/boletines-de-seguridad-de-microsoft-en.htm
l

una-al-dia (03/03/2014) Camaleon, un virus para puntos de acceso WiFi http://unaaldia.hispasec.com/2014/03/camaleon-un-virus-para-puntos-de-acceso.ht
ml

una-al-dia (05/03/2014) GnuTLS goto fail...también http://unaaldia.hispasec.com/2014/03/gnutls-goto-fail-tambien.html

una-al-dia (11/03/2014) Boletines de seguridad de Microsoft en marzo http://unaaldia.hispasec.com/2014/03/boletines-de-seguridad-de-microsoft-en.htm
l

una-al-dia (12/03/2014) El Centro Criptológico Nacional cumple 10 años de actividad http://unaaldia.hispasec.com/2014/03/el-centro-criptologico-nacional-cumple.htm
l

una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014 http://unaaldia.hispasec.com/2014/03/los-principales-navegadores-caen-en-el.htm
l

una-al-dia (19/03/2014) Mozilla pública 18 boletines de seguridad y corrige las
vulnerabilidades del Pwn2Own http://unaaldia.hispasec.com/2014/03/mozilla-publica-18-boletines-de.html

una-al-dia (20/02/2014) Microsoft publica un aviso sobre un 0-day en Internet Explorer http://unaaldia.hispasec.com/2014/02/microsoft-publica-un-aviso-sobre-un-0.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... La lógica es buena para razonar, pero mala para vivir. (Remy de Gourmont) --- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)