jueves, 31 de diciembre de 2009

Resumen de seguridad de 2009 (III)

Termina el año y desde Hispasec continuamos con este breve resumen del año, para en esta ocasión recordar y analizar con perspectiva lo que ha sido el tercer trimestre de 2009 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Julio 2009:

* Se revela la posibilidad de llegar ejecuta código a través de SMS en iPhone, mientras Apple trabaja en un parche para arreglar el problema que podría permitir la ejecución de código arbitrario en el iPhone al recibir un SMS especialmente manipulado.

* Este es el mes de los fallos en Twitter, centrado en la API del popular servicio de "la nube".

* Se da a conocer un nuevo "0 day" en un ActiveX de Microsoft. A finales de mes Adobe también se ve afectada por un "0-day" en Reader, Acrobat y Flash Player. Posteriormente se descubre que ambas compañías conocían los fallos desde 2008.

* Tras la publicación de Security Essentials el antivirus gratuito de Microsoft, el jefe de producto de Symantec realiza unas declaraciones en contra de las soluciones antivirus gratuitas, afirmando que "No son suficientes para mantener al usuario seguro". Sin embargo el problema no radica en la gratuidad o no de las soluciones antivirus.

Agosto 2009:

* Dos investigadores japoneses mejoran un ataque ya conocido sobre WPA, acelerando el proceso de 15 minutos a 1. El ataque es muy limitado y solo permite inyectar paquetes de información pequeños bajo ciertas circunstancias.

* Publicamos unos documentos técnicos (White Papers) sobre una vulnerabilidad en Asterisk investigada por nuestro compañero Hugo. Permitía provocar una denegación de servicio sin necesidad de autenticarse.

* A finales de mes los servidores de la fundación Apache sufren un ataque, durante un tiempo gran parte de su infraestructura permanece detenida para evaluar los daños causados por los atacantes. Se sabe que el problema surge por una llave SSH comprometida.

Septiembre 2009:

* Se anuncia un fallo de seguridad en Windows Vista y 7 que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activos los servicios de compartición de archivos (protocolo SMB). El ataque es tan sencillo que recuerda a los "pings de la muerte" que hicieron estragos a finales de los 90 en los sistemas Windows. Poco después de descubriría que el ataque permitía la ejecución de código arbitrario.

* Cisco y Microsoft, seguida posteriormente de Check Point, fueron los primeros fabricantes en publicar parche para la vulnerabilidad "Sockstress" (revelada en octubre de 2008) del protocolo TCP. El problema residía en un error en la implementación TCP al no realizar de forma correcta la limpieza de la información de estado y llegaba a afectar a todos los sistemas y dispositivos que implementaran una pila TCP.

* Hispasec publica el estudio comparativo: "¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?". En el que analizamos el tiempo que tarda un fabricante en hacer pública una solución para una vulnerabilidad cuando solo es conocida por ellos y quien la ha descubierto. Se analizaron 449 vulnerabilidades y los fabricantes estudiados fueron HP, Computer Associates, Adobe, Apple, Microsoft, Novell, Symantec, Oracle, IBM y Sun. Una de las conclusiones del estudio fue que la media de los grandes fabricantes para solucionar una vulnerabilidad es de seis meses, independientemente de su gravedad.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (29/12/2009) Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084/

una-al-dia (30/12/2009) Resumen de seguridad de 2009 (II)
http://www.hispasec.com/unaaldia/4085/

No hay comentarios:

Publicar un comentario en la entrada