­Hola All!


Resumen de seguridad de 2014 (III)
----------------------------------

Termina el año y desde Hispasec un año más echamos la vista atrás para
recordar y analizar con perspectiva (al más puro estilo periodístico)
lo que ha sido 2014 en cuestión de seguridad informática. En cuatro
entregas (tres meses por entrega) destacaremos muy brevemente lo que
hemos considerado las noticias más importantes de cada mes publicadas
en nuestro boletín diario.

Julio 2014:

* Dentro de su ciclo habitual de actualizaciones Microsoft publica seis boletines de seguridad, que solucionan 29 vulnerabilidades. Oracle
corrige 104 vulnerabilidades en su actualización de seguridad de julio.
Mozilla publica Firefox 31 y corrige 14 nuevas vulnerabilidades.

* Se anuncian nuevas vulnerabilidades en Android, por un lado una
aplicación maliciosa podría llegar a realizar llamadas a números de tarificación especial sin que el usuario se percate de ello y aun sin
permisos para ello. Y otro problema que podría permitir la instalación
de cualquier aplicación sin necesidad de que el usuario de permisos
especiales durante su instalación.

* A finales de mes se da a conocer BadUSB, una nueva vulnerabilidad en
el propio diseño de los USB podría permitir tomar el control de un
sistema, incluso con todas las protecciones y medidas de seguridad
posibles.

Agosto 2014:

* Microsoft publica EMET 5.0 (Enhanced Mitigation Experience Toolkit o
kit de herramientas de experiencia de mitigación mejorada). La utilidad
para mitigar la explotación de vulnerabilidades mediante la inclusión de
capas de protección adicionales. Incluye nuevas medidas de mitigación y funcionalidades.

* Dentro de su ciclo habitual de actualizaciones Microsoft publica nueve boletines de seguridad, que solucionan 37 vulnerabilidades. Apple
publica una actualización para Safari (versiones 6.1.6 y 7.0.6) que
solventa siete vulnerabilidades. Adobe publica dos boletines de
seguridad para anunciar actualizaciones para solucionar siete problemas
en Flash Player y otra vulnerabilidad en Adobe Reader y Acrobat para
Windows.

* Días después de que Microsoft publicara sus boletines mensuales, la
compañía recomienda desinstalar la actualización MS14-045 después de que
muchos usuarios sufrieran la "pantalla azul de la muerte" tras su
instalación. Dos semanas después publica una nueva versión de la
actualización con todos los problemas corregidos.

* Se anuncia una vulnerabilidad que puede permitir a un atacante remoto
borrar todos los datos del "smartwatch" (reloj inteligente) Pebble.

Septiembre 2014:

* Se filtran fotos íntimas y privadas de Jennifer Lawrence, entre otras famosas. El acto pasó a ser conocido como CelebGate.

* Dentro de su ciclo habitual de actualizaciones Microsoft publica
cuatro boletines de seguridad, que solucionan 42 vulnerabilidades.
Mozilla publica Firefox 32 y corrige 8 nuevas vulnerabilidades. Adobe
publica un boletín de seguridad para anunciar actualizaciones para
solucionar 12 problemas en Flash Player y otra actualización para
corregir ocho vulnerabilidades en Adobe Reader y Acrobat.

* Se publica una lista con casi cinco millones de credenciales de
usuarios de Gmail, con nombres de usuario y contraseñas en texto plano.

* Por segundo mes consecutivo Microsoft se ve obligada a retirar del
centro de descargas una de las actualizaciones publicadas dentro del
conjunto de boletines de seguridad mensual. En esta ocasión los
problemas se dan con la actualización MS14-055 en servidores Microsoft
Lync Server 2010. 10 días después publica una nueva versión corregida.

* Sale a la luz "shellshock", una vulnerabilidad en bash (el intérprete
de comandos más extendido en el mundo UNIX y derivados), que puede ser
empleada para ejecutar código arbitrario en sistemas remotos.

* Apenas días después del lanzamiento de iOS 8, Apple tiene que publicar
dos nuevas versiones de este sistema operativo.

Opina sobre esta noticia: http://unaaldia.hispasec.com/2014/12/resumen-de-seguridad-de-2014-iii.html#comm
ents

Más información:

una-al-dia (08/07/2014) Boletines de seguridad de Microsoft de julio http://unaaldia.hispasec.com/2014/07/boletines-de-seguridad-de-microsoft-de.htm
l

una-al-dia (15/07/2014) Oracle corrige 113 vulnerabilidades en su actualización
de seguridad de julio http://unaaldia.hispasec.com/2014/07/oracle-corrige-113-vulnerabilidades-en.htm
l

una-al-dia (23/07/2014) Mozilla publica Firefox 31 y corrige 14 nuevas vulnerabilidades http://unaaldia.hispasec.com/2014/07/mozilla-publica-firefox-31-y-corrige-14.ht
ml

una-al-dia (09/07/2014) Nuevas vulnerabilidades en Android pueden arruinarte http://unaaldia.hispasec.com/2014/07/nuevas-vulnerabilidades-en-android.html

una-al-dia (30/07/2014) Una nueva vulnerabilidad en Android facilita la instalación de malware http://unaaldia.hispasec.com/2014/07/una-nueva-vulnerabilidad-en-android.html

una-al-dia (31/07/2014) Desmontan la seguridad de los USB http://unaaldia.hispasec.com/2014/07/desmontan-la-seguridad-de-los-usb.html

una-al-dia (01/08/2014) Microsoft publica EMET 5.0 http://unaaldia.hispasec.com/2014/08/microsoft-publica-emet-50.html

una-al-dia (12/08/2014) Boletines de seguridad de Microsoft de agosto http://unaaldia.hispasec.com/2014/08/boletines-de-seguridad-de-microsoft-de.htm
l

una-al-dia (14/08/2014) Actualizaciones de seguridad para Adobe Reader, Acrobat
y Flash http://unaaldia.hispasec.com/2014/08/actualizaciones-de-seguridad-para-adobe.ht
ml

una-al-dia (15/08/2014) Apple publica actualización para Safari que soluciona siete vulnerabilidades http://unaaldia.hispasec.com/2014/08/apple-publica-actualizacion-para-safari.ht
ml

una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045 http://unaaldia.hispasec.com/2014/08/microsoft-recomienda-desinstalar-la.html

una-al-dia (22/08/2014) Un atacante remoto puede borrar todos los datos del reloj Pebble http://unaaldia.hispasec.com/2014/08/un-atacante-remoto-puede-borrar-todos.html

una-al-dia (27/08/2014) Microsoft vuelve a publicar la actualización MS14-045 http://unaaldia.hispasec.com/2014/08/microsoft-vuelve-publicar-la.html

una-al-dia (02/09/2014) La arquera y su manzana http://unaaldia.hispasec.com/2014/09/la-arquera-y-su-manzana.html

una-al-dia (04/09/2014) Mozilla publica Firefox 32 y corrige ocho nuevas vulnerabilidades http://unaaldia.hispasec.com/2014/09/mozilla-publica-firefox-32-y-corrige.html

una-al-dia (09/09/2014) Boletines de seguridad de Microsoft de septiembre http://unaaldia.hispasec.com/2014/09/boletines-de-seguridad-de-microsoft-de.htm
l

una-al-dia (10/09/2014) Actualización para Adobe Flash Player http://unaaldia.hispasec.com/2014/09/actualizacion-para-adobe-flash-player.html

una-al-dia (12/09/2014) Cómo vender cinco millones de bragas desechables http://unaaldia.hispasec.com/2014/09/actualizacion-de-seguridad-para-google.htm
l

una-al-dia (15/09/2014) Nuevo problema en las actualizaciones de Microsoft http://unaaldia.hispasec.com/2014/09/nuevo-problema-en-las-actualizaciones.html

una-al-dia (17/09/2014) Actualizaciones de seguridad para Adobe Reader y Acrobat http://unaaldia.hispasec.com/2014/09/actualizaciones-de-seguridad-para-adobe.ht
ml

una-al-dia (25/09/2014) Microsoft vuelve a publicar la actualización MS14-055 http://unaaldia.hispasec.com/2014/09/microsoft-vuelve-publicar-la.html

una-al-dia (25/09/2014) Bash. Significa golpe, porrazo o castaña. http://unaaldia.hispasec.com/2014/09/bash-significa-golpe-porrazo-o-castana.htm
l


una-al-dia (28/09/2014) Apple publica iOS 8.0.2 para solucionar diversos problemas http://unaaldia.hispasec.com/2014/09/apple-publica-ios-802-para-solucionar.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... El hombre es hijo de sus obras. (Miguel de Cervantes Saavedra)
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)