Termina
el año y desde Hispasec un año más echamos la vista atrás para recordar y
analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2013 en cuestión de seguridad informática. En cuatro
entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos
considerado las noticias más importantes de cada mes publicadas en nuestro
boletín diario.
Octubre 2013:
- Google
anuncia la versión 30 de su navegador Chrome para todas las plataformas
(Windows, Mac, Linux y Chrome Frame), que junto con nuevas funcionalidades y
mejoras, además viene a corregir 50 nuevas vulnerabilidades.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica ocho boletines de seguridad que solucionan 26 vulnerabilidades,
incluyendo dos 0-day. Adobe
también corrige 2 vulnerabilidades en Reader y Acrobat. Oracle,
por su parte, corrige 129 vulnerabilidades en múltiples de sus productos.
- Google
anuncia un programa experimental para gratificar las mejoras proactivas de
seguridad para determinados proyectos de código abierto.
- Comprometen el sitio web oficial del lenguaje de programación PHP y lo emplean para infectar con malware a los visitantes.
Noviembre2013:
- MongoHQ, la firma que da
soporte profesional y alojamiento a usuarios de la base de datos MongoDB, informa
de una intrusión en sus servidores. Todo indica que los atacantes han
conseguido acceder a la base de datos de cuentas de usuarios.
- Microsoft
alerta de la existencia de una vulnerabilidad "0-day" que se explota
a través de documentos Word enviados por e-mail. También ha publicado un parche
en forma de "Fix it" para bloquear el ataque mientras terminan la
actualización definitiva. Días después, se anuncia la existencia de otro
0-day que afecta al navegador Internet Explorer, y que se está explotando
de forma activa a través de sitios web maliciosos. A finales de mes, Microsoft
publica otro boletín en el que alerta de otro 0-day en un componente del
kernel de Windows XP y Windows Server 2003.
- Se
celebra el Mobile Pwn2Own 2013, un evento destinado a revelar vulnerabilidades
para los dispositivos móviles de última generación. Se anuncian
vulnerabilidades en iPhone 5, Galaxy S4, Nexus 4 y Surface RT.
Diciembre 2013:
- Una
autoridad certificadora intermedia emite un certificado fraudulento para
múltiples dominios de Google, lo que permitía que el tráfico cifrado fuera
visto por terceros.
- Microsoft publica 11 boletines de seguridad que solucionan 24 vulnerabilidades. Mozilla publica 14 boletines de seguridad que corrigen 15 vulnerabilidades que afectan a su navegador web Firefox, al gestor de correo Thunderbird y la suite SeaMonkey. Adobe publica dos boletines de seguridad, cada uno para corregir dos vulnerabilidades, en los reproductores Flash y Shockwave.
Más información:
una-al-dia (02/10/2013) Google
anuncia nueva versión de Chrome y corrige 50 vulnerabilidades
una-al-dia (09/10/2013) Boletines
de seguridad de Microsoft en octubre solucionan dos 0-day
una-al-dia (10/10/2013) Boletines
de seguridad de Adobe
una-al-dia (11/10/2013) Google gratificará
por mejoras de seguridad en proyectos de código abierto
una-al-dia (16/10/2013) Oracle
corrige 129 vulnerabilidades en su actualización de seguridad de octubre
una-al-dia (25/10/2013)
Comprometen el sitio oficial de PHP para alojar malware
una-al-dia (25/10/2013)
Comprometen el sitio oficial de PHP para alojar malware
una-al-dia (31/10/2013) Intrusión
en la red del fabricante de MongoDB
una-al-dia (06/11/2013) Microsoft
alerta de un 0-day en Office
una-al-dia (10/11/2013) Nuevo
0-day en Internet Explorer
una-al-dia (15/11/2013) El Mobile
Pwn2Own 2013 revela vulnerabilidades en iPhone 5, Galaxy S4, Nexus 4 y Surface
RT
una-al-dia (21/11/2013) OWASP:
Los diez riesgos más críticos en aplicaciones web (2013)
una-al-dia (27/11/2013) Microsoft
publica una alerta por una vulnerabilidad 0-day en el Kernel de Windows
una-al-dia (10/12/2013) Nuevos
certificados fraudulentos para dominios de Google
una-al-dia (11/12/2013) Microsoft
cierra el año con 11 boletines de seguridad
una-al-dia (12/12/2013) Mozilla
pública 14 boletines de seguridad
una-al-dia (14/12/2013) Boletines
de seguridad de Adobe
Antonio Ropero
Twitter: @aropero
