Resumen de seguridad de 2014 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2014 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario. 

Enero 2014:

• Se descubre una vulnerabilidad que afectaba al servidor X11 desde hacía 23 años. El fallo fue detectado tras procesar el código fuente a través de la herramienta de análisis estático "cppcheck".
       
• Dentro de su ciclo habitual de actualizaciones Microsoft publica cuatro boletines de seguridad, que solucionan 6 vulnerabilidades, incluido un 0-day anunciado en noviembre de 2013. Adobe también corrige dos vulnerabilidades en Adobe Reader, Acrobat y Flash Player y una actualización para Adobe Digital Editions. Apple, por su parte, corrige 25 vulnerabilidades en iTunes, algunas conocidas desde hacía más de dos años.
      
• Se anuncia una vulnerabilidad en el navegador Google Chrome que podría permitir a un atacante remoto escuchar todas las conversaciones que se produzcan en el entorno del ordenador. Conversaciones, reuniones, llamadas, etc. podrían quedar al alcance de cualquier atacante remoto.
      
• A finales de mes se confirma que el sitio blogs.perl.org (plataforma de federación de blogs del lenguaje Perl), había sido víctima de una intrusión. Los datos de casi 3000 cuentas de usuario quedaron publicados.

Febrero 2013:

• Alcatel-Lucent publicado un informe en el que revela que las amenazas para dispositivos móviles siguen creciendo, se estima en más de 11,6 millones de dispositivos infectados.
     
• Dentro de su ciclo habitual de actualizaciones Microsoft publica 7 boletines de seguridad, que solucionan 32 vulnerabilidades. La Fundación Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades. Adobe publica dos actualizaciones para Adobe Flash Player y soluciona dos vulnerabilidades críticas en Shockwave Player.
      
• Microsoft confirma la existencia de un exploit 0-day que afecta a Internet Explorer 9 y 10 y publica un aviso con un parche temporal.
 

Marzo 2014

• Se confirma la creación de un virus, con nombre Camaleon o Chameleon, capaz de propagarse a través de redes WiFi entre puntos de acceso.
   
• Se descubre y parchea una vulnerabilidad en la implementación de TLS (GnuTLS) que permitiría hacer pasar por válido un certificado falso.
     
• Dentro de su ciclo habitual de actualizaciones Microsoft publica cinco boletines de seguridad, que solucionan 23 vulnerabilidades. La Fundación Mozilla publica 18 boletines de seguridad y corrige 20 nuevas vulnerabilidades.
      
• Se cumplen 10 años de la creación del Centro Criptológico Nacional, ente adscrito al Centro Nacional de Inteligencia.
       
• Se celebra una nueva edición del Pwn2Own, concurso donde los descubridores de vulnerabilidades muestran exploits para los principales navegadores y plugins. Internet Explorer, Firefox, Chrome y Safari, no se libraron de los ataques y evidenciaron nuevas vulnerabilidades.

Más información:

una-al-dia (09/01/2014) Descubierta una vulnerabilidad que afectaba al servidor X11 desde hace 23 años

http://unaaldia.hispasec.com/2014/01/descubierta-una-vulnerabilidad-que.html

una-al-dia (15/01/2014) Boletines de seguridad de Microsoft en enero

http://unaaldia.hispasec.com/2014/01/boletines-de-seguridad-de-microsoft-en.html

una-al-dia (16/01/2014) Actualizaciones de seguridad para Adobe Reader y Flash

http://unaaldia.hispasec.com/2014/01/actualizaciones-de-seguridad-para-adobe.html

una-al-dia (23/01/2014) Apple soluciona múltiples vulnerabilidades en iTunes, algunas de más de 2 años

http://unaaldia.hispasec.com/2014/01/apple-soluciona-multiples.html

una-al-dia (24/01/2014) Chrome puede escuchar lo que dices

http://unaaldia.hispasec.com/2014/01/chrome-puede-escuchar-lo-que-dices.html

una-al-dia (26/01/2014) Crónica de la intrusión en blogs.perl.org

http://unaaldia.hispasec.com/2014/01/cronica-de-la-intrusion-en-blogsperlorg.html

una-al-dia (05/02/2014) Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades

http://unaaldia.hispasec.com/2014/02/mozilla-publica-firefox-27-y-corrige-15.html

una-al-dia (12/02/2014) Adobe soluciona dos vulnerabilidades críticas en Shockwave Player

http://unaaldia.hispasec.com/2014/02/adobe-soluciona-dos-vulnerabilidades.html

una-al-dia (06/02/2014) 11,6 millones de dispositivos móviles infectados según un informe de Alcatel-Lucent

http://unaaldia.hispasec.com/2014/02/116-millones-de-dispositivos-moviles.html

una-al-dia (12/02/2014) Boletines de seguridad de Microsoft en febrero

http://unaaldia.hispasec.com/2014/02/boletines-de-seguridad-de-microsoft-en.html

una-al-dia (03/03/2014) Camaleon, un virus para puntos de acceso WiFi

http://unaaldia.hispasec.com/2014/03/camaleon-un-virus-para-puntos-de-acceso.html

una-al-dia (05/03/2014) GnuTLS goto fail...también

http://unaaldia.hispasec.com/2014/03/gnutls-goto-fail-tambien.html

una-al-dia (11/03/2014) Boletines de seguridad de Microsoft en marzo

http://unaaldia.hispasec.com/2014/03/boletines-de-seguridad-de-microsoft-en.html

una-al-dia (12/03/2014) El Centro Criptológico Nacional cumple 10 años de actividad

http://unaaldia.hispasec.com/2014/03/el-centro-criptologico-nacional-cumple.html

una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014

http://unaaldia.hispasec.com/2014/03/los-principales-navegadores-caen-en-el.html

una-al-dia (19/03/2014) Mozilla pública 18 boletines de seguridad y corrige las vulnerabilidades del Pwn2Own

http://unaaldia.hispasec.com/2014/03/mozilla-publica-18-boletines-de.html

una-al-dia (20/02/2014) Microsoft publica un aviso sobre un 0-day en Internet Explorer

http://unaaldia.hispasec.com/2014/02/microsoft-publica-un-aviso-sobre-un-0.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero