Termina
el año y desde Hispasec un año más echamos la vista atrás para recordar y
analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2014
en cuestión de seguridad informática. En cuatro entregas (tres meses por
entrega) destacaremos muy brevemente lo que hemos considerado las noticias más
importantes de cada mes publicadas en nuestro boletín diario.
Abril 2014:
- Microsoft
soluciona una vulnerabilidad en Xbox Live descubierta por un niño de 5 años.
- El 8 de abril de 2014 Microsoft
deja de ofrecer soporte para Windows XP. Esto es, ya no habrá más
actualizaciones de seguridad, ni parches para errores no ligados a la
seguridad, ni opciones de soporte, etc.
- Dentro de su ciclo habitual de actualizaciones Microsoft publica cuatro boletines de seguridad, que solucionan 11 vulnerabilidades, incluido un 0-day en Word anunciado a finales de marzo. Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril. Apple publica actualización para Safari y soluciona 27 vulnerabilidades. Mozilla publica Firefox 29 y corrige 15 nuevas vulnerabilidades.
- Se anuncia una grave vulnerabilidad en OpenSSL bautizada como "Heartbleed".
- A finales de mes Microsoft publica un boletín de seguridad que alerta de una vulnerabilidad sin parche en Internet Explorer que podría permitir la ejecución remota de código.
Mayo 2014:
- Microsoft
libera un parche para solucionar la vulnerabilidad 0-day que afectaba a
Internet Explorer anunciada a finales de abril. También hay parche para Windows
XP.
- Microsoft
publica un documento en el que explica
de manera detallada las características de seguridad incluidas en Windows
Phone 8.1.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica ocho boletines de seguridad, que solucionan 13 vulnerabilidades. Adobe
publica tres boletines de seguridad que corrigen 18 vulnerabilidades en
Illustrator, en Flash Player y en Reader y Acrobat. Apple
publica actualización para Safari y soluciona 22 vulnerabilidades.
- eBay, el gigante de las subastan online, reconoce que entre finales de febrero y principios de marzo sufrieron una intrusión en sus sistemas y la base de datos de usuarios fue comprometida. Spotify también anuncia un acceso no autorizado a sus sistemas y datos internos.
Junio 2014:
- Se anuncia una
vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría
permitir a un atacante remoto tomar el control de los sistemas afectados.
- OpenSSL
publica un boletín en el que avisa de la corrección de siete nuevas
vulnerabilidades que afectarían a la implementación de los protocolos SSL,
TLS y DTLS. Los problemas anunciados podrían permitir la realización de ataques
de hombre en el medio (Man-In-The-Middle) o la ejecución remota de código
arbitrario.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica siete boletines de seguridad, que solucionan 88 vulnerabilidades. Adobe
publica un boletín de seguridad que corrige seis vulnerabilidades en Flash
Player. Apple
libera la versión 7.1.2 de iOS, su sistema operativo para dispositivos
móviles, que además de incluir diferentes mejoras soluciona 42 vulnerabilidades.
- Feedly, la alternativa al difunto Reader de Google, sufre un ataque de denegación de servicio distribuido (DDoS), y es extorsionado para poder recuperar el servicio.
Más información:
una-al-dia (01/04/2014) Apple
publica actualización para Safari y soluciona 27 vulnerabilidades
una-al-dia (05/04/2014) Microsoft
soluciona una vulnerabilidad en Xbox Live descubierta por un niño de 5 años
una-al-dia (07/04/2014) eXPira el
Windows más longevo de Microsoft
una-al-dia (09/04/2014) Microsoft
publica cuatro boletines y concluye el soporte a Windows XP
una-al-dia (08/04/2014) OpenSSL
afectada por una vulnerabilidad apodada Heartbleed
una-al-dia (16/04/2014) Oracle
corrige 104 vulnerabilidades en su actualización de seguridad de abril
una-al-dia (28/04/2014) Ejecución
remota de código en Internet Explorer
una-al-dia (30/04/2014) Mozilla
publica Firefox 29 y corrige 15 nuevas vulnerabilidades
una-al-dia (01/05/2014) Microsoft
publica parche para Internet Explorer... Windows XP incluido
una-al-dia (06/05/2014) Microsoft
detalla las características de seguridad de Windows Phone 8.1 (I)
una-al-dia (07/05/2014) Microsoft
detalla las características de seguridad de Windows Phone 8.1 (y II)
una-al-dia (13/05/2014) Boletines
de seguridad de Microsoft en mayo
una-al-dia (15/05/2014) Boletines
de seguridad de Adobe: Vulnerabilidades en Illustrator, Flash, Reader y Acrobat
una-al-dia (21/05/2014) Intrusión
en eBay
una-al-dia (23/05/2014) Apple
publica actualización para Safari y soluciona 22 vulnerabilidades
una-al-dia (26/05/2014) Otra intrusión,
esta vez Spotify. Solo un usuario afectado
una-al-dia (03/06/2014)
Vulnerabilidad de ejecución de código en la librería GnuTLS
una-al-dia (05/06/2014) OpenSSL
corrige nuevas vulnerabilidades graves
una-al-dia (10/06/2014) Los
boletines de seguridad de Microsoft de junio corrigen 66 vulnerabilidades
una-al-dia (11/06/2014) De malos
y delincuentes
una-al-dia (12/06/2014)
Actualización para Adobe Flash Player
una-al-dia (29/06/2014) Apple
publica iOS 7.1.2 y soluciona 42 vulnerabilidades
Antonio Ropero
Twitter: @aropero
