Resumen de seguridad de 2013 (y IV)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2013 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Octubre 2013:

Google anuncia la versión 30 de su navegador Chrome para todas las plataformas (Windows, Mac, Linux y Chrome Frame), que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.
Dentro de su ciclo habitual de actualizaciones Microsoft publica ocho boletines de seguridad que solucionan 26 vulnerabilidades, incluyendo dos 0-day. Adobe también corrige 2 vulnerabilidades en Reader y Acrobat. Oracle, por su parte, corrige 129 vulnerabilidades en múltiples de sus productos.
Google anuncia un programa experimental para gratificar las mejoras proactivas de seguridad para determinados proyectos de código abierto.
Comprometen el sitio web oficial del lenguaje de programación PHP y lo emplean para infectar con malware a los visitantes.

Noviembre2013:

MongoHQ, la firma que da soporte profesional y alojamiento a usuarios de la base de datos MongoDB, informa de una intrusión en sus servidores. Todo indica que los atacantes han conseguido acceder a la base de datos de cuentas de usuarios.
Microsoft alerta de la existencia de una vulnerabilidad "0-day" que se explota a través de documentos Word enviados por e-mail. También ha publicado un parche en forma de "Fix it" para bloquear el ataque mientras terminan la actualización definitiva. Días después, se anuncia la existencia de otro 0-day que afecta al navegador Internet Explorer, y que se está explotando de forma activa a través de sitios web maliciosos. A finales de mes, Microsoft publica otro boletín en el que alerta de otro 0-day en un componente del kernel de Windows XP y Windows Server 2003.
Se celebra el Mobile Pwn2Own 2013, un evento destinado a revelar vulnerabilidades para los dispositivos móviles de última generación. Se anuncian vulnerabilidades en iPhone 5, Galaxy S4, Nexus 4 y Surface RT.
La OWASP (Open Web Application Security Project) publica una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web; un documento que identifica y remarca las diez amenazas más serias a las que se exponen.

Diciembre 2013:

Una autoridad certificadora intermedia emite un certificado fraudulento para múltiples dominios de Google, lo que permitía que el tráfico cifrado fuera visto por terceros.
Microsoft publica 11 boletines de seguridad que solucionan 24 vulnerabilidades. Mozilla publica 14 boletines de seguridad que corrigen 15 vulnerabilidades que afectan a su navegador web Firefox, al gestor de correo Thunderbird y la suite SeaMonkey. Adobe publica dos boletines de seguridad, cada uno para corregir dos vulnerabilidades, en los reproductores Flash y Shockwave.

Más información:

una-al-dia (02/10/2013) Google anuncia nueva versión de Chrome y corrige 50 vulnerabilidades

http://unaaldia.hispasec.com/2013/10/google-anuncia-nueva-version-de-chrome.html

una-al-dia (09/10/2013) Boletines de seguridad de Microsoft en octubre solucionan dos 0-day

http://unaaldia.hispasec.com/2013/10/los-boletines-de-seguridad-de-microsoft.html

una-al-dia (10/10/2013) Boletines de seguridad de Adobe

http://unaaldia.hispasec.com/2013/10/boletines-de-seguridad-de-adobe.html

una-al-dia (11/10/2013) Google gratificará por mejoras de seguridad en proyectos de código abierto

http://unaaldia.hispasec.com/2013/10/google-gratificara-por-mejoras-de.html

una-al-dia (16/10/2013) Oracle corrige 129 vulnerabilidades en su actualización de seguridad de octubre

http://unaaldia.hispasec.com/2013/10/oracle-corrige-129-vulnerabilidades-en.html

una-al-dia (25/10/2013) Comprometen el sitio oficial de PHP para alojar malware

http://unaaldia.hispasec.com/2013/10/comprometen-el-sitio-oficial-de-php.html

una-al-dia (25/10/2013) Comprometen el sitio oficial de PHP para alojar malware

http://unaaldia.hispasec.com/2013/10/comprometen-el-sitio-oficial-de-php.html

una-al-dia (31/10/2013) Intrusión en la red del fabricante de MongoDB

http://unaaldia.hispasec.com/2013/10/intrusion-en-la-red-de-la-compania.html

una-al-dia (06/11/2013) Microsoft alerta de un 0-day en Office

http://unaaldia.hispasec.com/2013/11/microsoft-alerta-de-un-0-day-en-office.html

una-al-dia (10/11/2013) Nuevo 0-day en Internet Explorer

http://unaaldia.hispasec.com/2013/11/nuevo-0-day-en-internet-explorer.html

una-al-dia (15/11/2013) El Mobile Pwn2Own 2013 revela vulnerabilidades en iPhone 5, Galaxy S4, Nexus 4 y Surface RT

http://unaaldia.hispasec.com/2013/11/el-mobile-pwn2own-2013-revela.html

una-al-dia (21/11/2013) OWASP: Los diez riesgos más críticos en aplicaciones web (2013)

http://unaaldia.hispasec.com/2013/11/owasp-los-diez-riesgos-mas-criticos-en.html

una-al-dia (27/11/2013) Microsoft publica una alerta por una vulnerabilidad 0-day en el Kernel de Windows

http://unaaldia.hispasec.com/2013/11/microsoft-publica-una-alerta-por-una.html

una-al-dia (10/12/2013) Nuevos certificados fraudulentos para dominios de Google

http://unaaldia.hispasec.com/2013/12/nuevos-certificados-fraudulentos-para.html

una-al-dia (11/12/2013) Microsoft cierra el año con 11 boletines de seguridad

http://unaaldia.hispasec.com/2013/12/microsoft-cierra-el-ano-con-11.html

una-al-dia (12/12/2013) Mozilla pública 14 boletines de seguridad

http://unaaldia.hispasec.com/2013/12/mozilla-publica-14-boletines-de.html

una-al-dia (14/12/2013) Boletines de seguridad de Adobe

http://unaaldia.hispasec.com/2013/12/boletines-de-seguridad-de-adobe.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

una-al-día | Hispasec

martes, 31 de diciembre de 2013

Resumen de seguridad de 2013 (y IV)