­Hola All!


Resumen de seguridad de 2014 (II)
---------------------------------

Termina el año y desde Hispasec un año más echamos la vista atrás para
recordar y analizar con perspectiva (al más puro estilo periodístico)
lo que ha sido 2014 en cuestión de seguridad informática. En cuatro
entregas (tres meses por entrega) destacaremos muy brevemente lo que
hemos considerado las noticias más importantes de cada mes publicadas
en nuestro boletín diario.

Abril 2014:

* Microsoft soluciona una vulnerabilidad en Xbox Live descubierta por un
niño de 5 años

* El 8 de abril de 2014 Microsoft deja de ofrecer soporte para Windows
XP. Esto es, ya no habrá más actualizaciones de seguridad, ni parches
para errores no ligados a la seguridad, ni opciones de soporte, etc.

* Dentro de su ciclo habitual de actualizaciones Microsoft publica
cuatro boletines de seguridad, que solucionan 11 vulnerabilidades,
incluido un 0-day en Word anunciado a finales de marzo. Oracle corrige
104 vulnerabilidades en su actualización de seguridad de abril. Apple
publica actualización para Safari y soluciona 27 vulnerabilidades.
Mozilla publica Firefox 29 y corrige 15 nuevas vulnerabilidades

* Se anuncia una grave vulnerabilidad en OpenSSL bautizada como
"Heartbleed".

* A finales de mes Microsoft publica un boletín de seguridad que alerta
de una vulnerabilidad sin parche en Internet Explorer que podría
permitir la ejecución remota de código.

Mayo 2014:

* Microsoft libera un parche para solucionar la vulnerabilidad 0-day que afectaba a Internet Explorer anunciada a finales de abril. También hay
parche para Windows XP.

* Microsoft publica un documento en el que explica de manera detallada
las características de seguridad incluidas en Windows Phone 8.1.

* Dentro de su ciclo habitual de actualizaciones Microsoft publica ocho boletines de seguridad, que solucionan 13 vulnerabilidades. Adobe
publica tres boletines de seguridad que corrigen 18 vulnerabilidades en Illustrator, en Flash Player y en Reader y Acrobat. Apple publica
actualización para Safari y soluciona 22 vulnerabilidades.

* eBay, el gigante de las subastan online, reconoce que entre finales de febrero y principios de marzo sufrieron una intrusión en sus sistemas y
la base de datos de usuarios fue comprometida. Spotify también anuncia
un acceso no autorizado a sus sistemas y datos internos.

Junio 2014:

* Se anuncia una vulnerabilidad de desbordamiento de búfer en la
librería GnuTLS que podría permitir a un atacante remoto tomar el
control de los sistemas afectados.

* OpenSSL publica un boletín en el que avisa de la corrección de siete
nuevas vulnerabilidades que afectarían a la implementación de los
protocolos SSL, TLS y DTLS. Los problemas anunciados podrían permitir la realización de ataques de hombre en el medio (Man-In-The-Middle) o la
ejecución remota de código arbitrario.

* Dentro de su ciclo habitual de actualizaciones Microsoft publica siete boletines de seguridad, que solucionan 88 vulnerabilidades. Adobe
publica un boletín de seguridad que corrige seis vulnerabilidades en
Flash Player. Apple libera la versión 7.1.2 de iOS, su sistema operativo
para dispositivos móviles, que además de incluir diferentes mejoras
soluciona 42 vulnerabilidades.

* Feedly, la alternativa al difunto Reader de Google, sufre un ataque de denegación de servicio distribuido (DDoS), y es extorsionado para poder recuperar el servicio.

Opina sobre esta noticia: http://unaaldia.hispasec.com/2014/12/resumen-de-seguridad-de-2014-ii.html#comme
nts

Más información:

una-al-dia (01/04/2014) Apple publica actualización para Safari y soluciona 27 vulnerabilidades http://unaaldia.hispasec.com/2014/04/apple-publica-actualizacion-para-safari.ht
ml

una-al-dia (05/04/2014) Microsoft soluciona una vulnerabilidad en Xbox Live descubierta por un niño de 5 años http://unaaldia.hispasec.com/2014/04/microsoft-soluciona-una-vulnerabilidad.htm
l

una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft http://unaaldia.hispasec.com/2014/04/expira-el-windows-mas-longevo-de.html

una-al-dia (09/04/2014) Microsoft publica cuatro boletines y concluye el soporte a Windows XP http://unaaldia.hispasec.com/2014/04/microsoft-publica-cuatro-boletines-y.html

una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed http://unaaldia.hispasec.com/2014/04/openssl-afectada-por-una-vulnerabilidad.ht
ml

una-al-dia (16/04/2014) Oracle corrige 104 vulnerabilidades en su actualización
de seguridad de abril http://unaaldia.hispasec.com/2014/04/oracle-corrige-104-vulnerabilidades-en.htm
l

una-al-dia (28/04/2014) Ejecución remota de código en Internet Explorer http://unaaldia.hispasec.com/2014/04/ejecucion-remota-de-codigo-en-internet.htm
l

una-al-dia (30/04/2014) Mozilla publica Firefox 29 y corrige 15 nuevas vulnerabilidades http://unaaldia.hispasec.com/2014/04/mozilla-publica-firefox-29-y-corrige-15.ht
ml

una-al-dia (01/05/2014) Microsoft publica parche para Internet Explorer... Windows XP incluido http://unaaldia.hispasec.com/2014/05/microsoft-publica-parche-para-internet.htm
l

una-al-dia (06/05/2014) Microsoft detalla las características de seguridad de Windows Phone 8.1 (I) http://unaaldia.hispasec.com/2014/05/microsoft-detalla-las-caracteristicas.html

una-al-dia (07/05/2014) Microsoft detalla las características de seguridad de Windows Phone 8.1 (y II) http://unaaldia.hispasec.com/2014/05/microsoft-detalla-las-caracteristicas_7.ht
ml

una-al-dia (13/05/2014) Boletines de seguridad de Microsoft en mayo http://unaaldia.hispasec.com/2014/05/boletines-de-seguridad-de-microsoft-en.htm
l

una-al-dia (15/05/2014) Boletines de seguridad de Adobe: Vulnerabilidades en Illustrator, Flash, Reader y Acrobat http://unaaldia.hispasec.com/2014/05/boletines-de-seguridad-de-adobe.html

una-al-dia (21/05/2014) Intrusión en eBay http://unaaldia.hispasec.com/2014/05/intrusion-en-ebay.html

una-al-dia (23/05/2014) Apple publica actualización para Safari y soluciona 22 vulnerabilidades http://unaaldia.hispasec.com/2014/05/apple-publica-actualizacion-para-safari.ht
ml

una-al-dia (26/05/2014) Otra intrusión, esta vez Spotify. Solo un usuario afectado http://unaaldia.hispasec.com/2014/05/otra-intrusion-esta-vez-spotify-solo-un.ht
ml

una-al-dia (03/06/2014) Vulnerabilidad de ejecución de código en la librería GnuTLS http://unaaldia.hispasec.com/2014/06/vulnerabilidad-de-ejecucion-de-codigo.html

una-al-dia (05/06/2014) OpenSSL corrige nuevas vulnerabilidades graves http://unaaldia.hispasec.com/2014/06/openssl-corrige-nuevas-vulnerabilidades.ht
ml

una-al-dia (10/06/2014) Los boletines de seguridad de Microsoft de junio corrigen 66 vulnerabilidades http://unaaldia.hispasec.com/2014/06/los-boletines-de-seguridad-de-microsoft.ht
ml

una-al-dia (11/06/2014) De malos y delincuentes http://unaaldia.hispasec.com/2014/06/de-malos-y-delincuentes.html

una-al-dia (12/06/2014) Actualización para Adobe Flash Player http://unaaldia.hispasec.com/2014/06/actualizacion-para-adobe-flash-player.html

una-al-dia (29/06/2014) Apple publica iOS 7.1.2 y soluciona 42 vulnerabilidades http://unaaldia.hispasec.com/2014/06/apple-publica-ios-712-y-soluciona-42.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... Claro, era un error bastante... eh, uh... erróneo.
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)