Resumen de seguridad de 2014 (I)

• Se descubre una vulnerabilidad que afectaba al servidor X11 desde hacía 23 años. El fallo fue detectado tras procesar el código fuente a través de la herramienta de análisis estático «cppcheck«.
       
• Dentro de su ciclo habitual de actualizaciones Microsoft publica cuatro boletines de seguridad, que solucionan 6 vulnerabilidades, incluido un 0-day anunciado en noviembre de 2013. Adobe también corrige dos vulnerabilidades en Adobe Reader, Acrobat y Flash Playery una actualización para Adobe Digital Editions. Apple, por su parte, corrige 25 vulnerabilidades en iTunes, algunas conocidas desde hacía más de dos años.
      
• Se anuncia una vulnerabilidad en el navegador Google Chrome que podría permitir a un atacante remoto escuchar todas las conversaciones que se produzcan en el entorno del ordenador. Conversaciones, reuniones, llamadas, etc. podrían quedar al alcance de cualquier atacante remoto.
      
• A finales de mes se confirma que el sitio blogs.perl.org (plataforma de federación de blogs del lenguaje Perl), había sido víctima de una intrusión. Los datos de casi 3000 cuentas de usuario quedaron publicados.

• Alcatel-Lucent publicado un informe en el que revela que las amenazas para dispositivos móviles siguen creciendo, se estima en más de 11,6 millones de dispositivos infectados.
     
• Dentro de su ciclo habitual de actualizaciones Microsoft publica 7 boletines de seguridad, que solucionan 32 vulnerabilidades. La Fundación Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades. Adobe publica dos actualizaciones para Adobe Flash Player y soluciona dos vulnerabilidades críticas en Shockwave Player.
      
• Microsoft confirma la existencia de un exploit 0-day que afecta a Internet Explorer 9 y 10 y publica un aviso con un parche temporal.

 

Marzo 2014

• Se confirma la creación de un virus, con nombre Camaleon o Chameleon, capaz de propagarse a través de redes WiFi entre puntos de acceso.
   
• Se descubre y parchea una vulnerabilidad en la implementación de TLS (GnuTLS) que permitiría hacer pasar por válido un certificado falso.
     
• Dentro de su ciclo habitual de actualizaciones Microsoft publica cinco boletines de seguridad, que solucionan 23 vulnerabilidades. La Fundación Mozilla publica 18 boletines de seguridad y corrige 20 nuevas vulnerabilidades.
      
• Se cumplen 10 años de la creación del Centro Criptológico Nacional, ente adscrito al Centro Nacional de Inteligencia.
       
• Se celebra una nueva edición del Pwn2Own, concurso donde los descubridores de vulnerabilidades muestran exploits para los principales navegadores y plugins. Internet Explorer, Firefox, Chrome y Safari, no se libraron de los ataques y evidenciaron nuevas vulnerabilidades.