Resumen de seguridad de 2013 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2013 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2013:

Dentro de su ciclo habitual de actualizaciones Microsoft publica siete boletines de seguridad, que solucionan 12 vulnerabilidades. Adobe también corrige cuatro vulnerabilidades Cold Fusion. Oracle, por su parte, corrige 86 vulnerabilidades en múltiples productos de su gama.
Microsoft publica una actualización fuera de ciclo destinada a solucionar una grave vulnerabilidad 0-day dada a conocer en los últimos días de 2012.
Kaspersky descubre un malware conocido como "Operación octubre rojo" que parece haber pasado desapercibido mucho tiempo y programado con intereses muy concretos.

Febrero 2013:

Oracle adelanta la publicación de un boletín de seguridad para Java por la gravedad de algunas vulnerabilidades corregidas. Tal es la gravedad, que 26 de las vulnerabilidades tienen una puntuación CVSS de 10 con posibilidad de elevación de privilegios.
Dentro de su ciclo habitual de actualizaciones Microsoft publica 12 boletines de seguridad, que solucionan 57 vulnerabilidades. La Fundación Mozilla publica ocho boletines de seguridad que en total corrigen 14 vulnerabilidades, que afectan al navegador Firefox, al gestor de correo Thunderbird y la suite SeaMonkey.
Se publica una vulnerabilidad que afecta a iOS 6, la última versión del sistema operativo móvil de Apple y que permitiría realizar llamadas desde un iPhone bloqueado.
Se detectan y dan a conocer varias noticias de ataques relevantes sobre las redes internas de Facebook, Twitter y Apple, con infecciones por malware en dichas compañías. Como elemento común los fallos de seguridad en Java.
Se cumplen 10 años de los ataques de tipo phishing. 10 años después, el phishing sigue funcionando prácticamente igual que cuando comenzó, La sencillez se demuestra como un arma efectiva.

Marzo 2013:

Hispasec realiza un estudio sobre el uso de SPF en la banca, una de las medidas que se pueden adoptar para intentar que el phishing no caiga en los buzones de los usuarios. Comprobando que en España está más extendido el uso de esta buena práctica.
Microsoft publica siete boletines de seguridad que agrupan 20 vulnerabilidades diferentes. Adobe publica una nueva actualización para Adobe Flash Player para evitar cuatro vulnerabilidades.
Apple implementa por defecto HTTPS en App Store y soluciona así varios problemas de seguridad documentados desde 2012.

Más información:

una-al-dia (08/01/2013) Boletines de seguridad de Microsoft en enero

http://unaaldia.hispasec.com/2013/01/boletines-de-seguridad-de-microsoft-en.html

una-al-dia (15/01/2013) Microsoft publica boletín fuera de ciclo para el último 0-day de Internet Explorer

http://unaaldia.hispasec.com/2013/01/microsoft-publica-boletin-fuera-de.html

una-al-dia (16/01/2013) Oracle corrige 86 vulnerabilidades en su actualización de seguridad de enero

http://unaaldia.hispasec.com/2013/01/oracle-corrige-86-vulnerabilidades-en.html

una-al-dia (17/01/2013) Operación octubre rojo: un malware muy "personal" (I)

http://unaaldia.hispasec.com/2013/01/operacion-octubre-rojo-un-malware-muy.html

una-al-dia (18/01/2013) Operación octubre rojo: un malware muy "personal" (y II)

http://unaaldia.hispasec.com/2013/01/operacion-octubre-rojo-un-malware-muy_18.html

una-al-dia (19/01/2013) Adobe corrige varias vulnerabilidades en Cold Fusion 10 y 9

http://unaaldia.hispasec.com/2013/01/adobe-corrige-varias-vulnerabilidades.html

una-al-dia (04/02/2013) Boletín de seguridad de Oracle soluciona 50 vulnerabilidades en Java

http://unaaldia.hispasec.com/2013/02/boletin-de-seguridad-de-oracle.html

una-al-dia (12/02/2013) Microsoft corrige 57 vulnerabilidades en 12 boletines de seguridad

http://unaaldia.hispasec.com/2013/02/microsoft-corrige-57-vulnerabilidades.html

una-al-dia (17/02/2013) Salto de restricciones en Apple iOS 6 (o cómo realizar llamadas desde un iPhone bloqueado)

http://unaaldia.hispasec.com/2013/02/salto-de-restricciones-en-apple-ios-6-o.html

una-al-dia (19/02/2013) Java detrás de los ataques a Apple, Facebook y Twitter

http://unaaldia.hispasec.com/2013/02/java-detras-de-los-ataques-apple.html

una-al-dia (20/02/2013) Boletines de seguridad para productos Mozilla

http://unaaldia.hispasec.com/2013/02/boletines-de-seguridad-para-productos.html

una-al-dia (26/02/2013) 10 años de phishing: la eficacia de lo simple (I)

http://unaaldia.hispasec.com/2013/02/10-anos-de-phishing-la-eficacia-de-lo.html

una-al-dia (26/02/2013) 10 años de phishing: la eficacia de lo simple (y II)

http://unaaldia.hispasec.com/2013/02/10-anos-de-phishing-la-eficacia-de-lo_27.html

una-al-dia (07/03/2013) SPF contra el phishing: mejor en la banca española que en el mundo

http://unaaldia.hispasec.com/2013/03/spf-contra-el-phishing-mejor-en-la.html

una-al-dia (12/03/2013) Microsoft corrige 20 vulnerabilidades en 7 boletines de seguridad

http://unaaldia.hispasec.com/2013/03/microsoft-corrige-20-vulnerabilidades.html

una-al-dia (13/03/2013) Nueva actualización para Adobe Flash Player

http://unaaldia.hispasec.com/2013/03/nueva-actualizacion-para-adobe-flash.html

una-al-dia (10/03/2013) Apple implementa por defecto HTTPS en App Store y soluciona así varias vulnerabilidades

http://unaaldia.hispasec.com/2013/03/apple-implementa-por-defecto-https-en.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

una-al-día | Hispasec

sábado, 28 de diciembre de 2013

Resumen de seguridad de 2013 (I)