Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2014 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.
Enero 2014:
- Se descubre una vulnerabilidad que afectaba al servidor X11 desde hacía 23 años. El fallo fue detectado tras procesar el código fuente a través de la herramienta de análisis estático «cppcheck«.
- Dentro de su ciclo habitual de actualizaciones Microsoft publica cuatro boletines de seguridad, que solucionan 6 vulnerabilidades, incluido un 0-day anunciado en noviembre de 2013. Adobe también corrige dos vulnerabilidades en Adobe Reader, Acrobat y Flash Playery una actualización para Adobe Digital Editions. Apple, por su parte, corrige 25 vulnerabilidades en iTunes, algunas conocidas desde hacía más de dos años.
- Se anuncia una vulnerabilidad en el navegador Google Chrome que podría permitir a un atacante remoto escuchar todas las conversaciones que se produzcan en el entorno del ordenador. Conversaciones, reuniones, llamadas, etc. podrían quedar al alcance de cualquier atacante remoto.
- A finales de mes se confirma que el sitio blogs.perl.org (plataforma de federación de blogs del lenguaje Perl), había sido víctima de una intrusión. Los datos de casi 3000 cuentas de usuario quedaron publicados.
Febrero 2013:
- Alcatel-Lucent publicado un informe en el que revela que las amenazas para dispositivos móviles siguen creciendo, se estima en más de 11,6 millones de dispositivos infectados.
- Dentro de su ciclo habitual de actualizaciones Microsoft publica 7 boletines de seguridad, que solucionan 32 vulnerabilidades. La Fundación Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades. Adobe publica dos actualizaciones para Adobe Flash Player y soluciona dos vulnerabilidades críticas en Shockwave Player.
- Microsoft confirma la existencia de un exploit 0-day que afecta a Internet Explorer 9 y 10 y publica un aviso con un parche temporal.
Marzo 2014
- Se confirma la creación de un virus, con nombre Camaleon o Chameleon, capaz de propagarse a través de redes WiFi entre puntos de acceso.
- Se descubre y parchea una vulnerabilidad en la implementación de TLS (GnuTLS) que permitiría hacer pasar por válido un certificado falso.
- Dentro de su ciclo habitual de actualizaciones Microsoft publica cinco boletines de seguridad, que solucionan 23 vulnerabilidades. La Fundación Mozilla publica 18 boletines de seguridad y corrige 20 nuevas vulnerabilidades.
- Se cumplen 10 años de la creación del Centro Criptológico Nacional, ente adscrito al Centro Nacional de Inteligencia.
- Se celebra una nueva edición del Pwn2Own, concurso donde los descubridores de vulnerabilidades muestran exploits para los principales navegadores y plugins. Internet Explorer, Firefox, Chrome y Safari, no se libraron de los ataques y evidenciaron nuevas vulnerabilidades.
Más información:
una-al-dia (09/01/2014) Descubierta una vulnerabilidad que afectaba al servidor X11 desde hace 23 años
una-al-dia (15/01/2014) Boletines de seguridad de Microsoft en enero
una-al-dia (16/01/2014) Actualizaciones de seguridad para Adobe Reader y Flash
una-al-dia (23/01/2014) Apple soluciona múltiples vulnerabilidades en iTunes, algunas de más de 2 años
una-al-dia (24/01/2014) Chrome puede escuchar lo que dices
una-al-dia (26/01/2014) Crónica de la intrusión en blogs.perl.org
una-al-dia (05/02/2014) Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades
una-al-dia (12/02/2014) Adobe soluciona dos vulnerabilidades críticas en Shockwave Player
una-al-dia (06/02/2014) 11,6 millones de dispositivos móviles infectados según un informe de Alcatel-Lucent
una-al-dia (12/02/2014) Boletines de seguridad de Microsoft en febrero
una-al-dia (03/03/2014) Camaleon, un virus para puntos de acceso WiFi
una-al-dia (05/03/2014) GnuTLS goto fail…también
una-al-dia (11/03/2014) Boletines de seguridad de Microsoft en marzo
una-al-dia (12/03/2014) El Centro Criptológico Nacional cumple 10 años de actividad
una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014
una-al-dia (19/03/2014) Mozilla pública 18 boletines de seguridad y corrige las vulnerabilidades del Pwn2Own
una-al-dia (20/02/2014) Microsoft publica un aviso sobre un 0-day en Internet Explorer
Antonio Ropero
Twitter: @aropero
