Termina
el año y desde Hispasec un año más echamos la vista atrás para recordar y
analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2015
en cuestión de seguridad informática. En cuatro entregas (tres meses por
entrega) destacaremos muy brevemente lo
que hemos considerado las noticias más importantes de cada mes publicadas
en nuestro boletín diario.
Enero 2015:
- Dentro de su ciclo habitual de
actualizaciones Microsoft publica ocho
boletines de seguridad, que solucionan otras tantas vulnerabilidades. Adobe
publica una actualización que corrige nueve vulnerabilidades
en Adobe Flash Player, días después anuncia una actualización para evitar
una nueva
vulnerabilidad 0-day.
- Mozilla
publica Firefox 35 y corrige 10 nuevas vulnerabilidades. Mientras que Oracle
soluciona 169 vulnerabilidades diferentes en una larga lista de productos
pertenecientes a diferentes familias, que van desde el popular gestor de base
de datos Oracle Database hasta Solaris, Java o MySQL.
- Se confirma que Google no
desarrollará más parches de seguridad para las versiones de Android inferiores
a la 4.4 'KitKat'.
- A finales de mes se anuncia una de las vulnerabilidades más importantes del año, bautizada como GHOST, afecta a todas las distribuciones Linux que usen la librería glibc (y eglibc) versión 2.17 y anteriores.
Febrero 2015:
- BMW
confirma la actualización del software de 2,2 millones de coches de las
marcas BMW, Mini y Rolls Royce debido a una vulnerabilidad que podía facilitar
a un atacante la apertura del automóvil.
- Se publica una nueva
edición del anuario "Una al día. 16 Años de seguridad
informática". El libro sigue editado por Sergio y continúa el mismo
esquema u organización que los anteriores, añadiendo cuatro años más de
contenido. Una revisión ampliada y llena de nuevas historias, noticias y la
interesante entrevista a Cesar Lorenzana, capitán del grupo de delitos
telemáticos de la Guardia Civil.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica nueve boletines de seguridad, que solucionan 56 vulnerabilidades.
La Fundación Mozilla publica Firefox
36 y corrige 18 nuevas vulnerabilidades. Un nuevo
0-day en Flash empleado para infectar sistemas con solo visitar una web
obliga a Adobe a publicar una nueva actualización del popular reproductor.
Apenas tres días después publica
su actualización "periódica" destinada a resolver 17 vulnerabilidades
más.
- ONTSI e INCIBE publican el
"Estudio
sobre la Ciberseguridad y Confianza en
los hogares españoles" en el que Hispasec colabora de forma activa.
INCIBE, el Instituto Nacional de Ciberseguridad, en colaboración con HISPASEC,
publican un estudio sobre la
situación del malware en la plataforma Android.
- Se confirma que la firma Lenovo ha incluido un malware (conocido como Superfich) en sus ordenadores portátiles. Un adware que además de la molesta publicidad indeseada deja todos los ordenadores expuestos a ataques "hombre en el medio" al incluir un certificado raíz autofirmado.
Marzo 2014
- Se anuncia la vulnerabilidad FREAK
(Factoring RSA Export Keys) que permite a un atacante en situación de
interceptar las comunicaciones entre cliente y servidor renegociar la conexión
segura y hacer que ambos usen uno de los cifrados de la categoría EXPORT,
capturar dicho tráfico y descifrarlo con una capacidad computacional al alcance
de cualquiera.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica 14 boletines de seguridad, que solucionan 45 vulnerabilidades. Google
publica Chrome
41 y corrige 51 vulnerabilidades. Apple
publica iOS 8.2 y Security Update 2015-002 (para sistemas OS X), Xcode 6.2 y
Apple TV 7.1. Adobe publica una
actualización para Adobe Flash Player para evitar 11 nuevas
vulnerabilidades que afectan al popular reproductor. Por su parte, Mozilla
publica Firefox
37 y corrige 17 nuevas vulnerabilidades.
- Se confirma que una de las
vulnerabilidades empleadas por Stuxnet en 2010 y que se creía parcheada por
Microsoft en agosto de 2010, realmente
no estaba corregida. El problema, que incomprensiblemente ha pasado
desapercibido durante casi cinco años, permitía la ejecución de código aunque
el AutoPlay y AutoRun se encontrasen desactivados queda corregido dentro del conjunto
de boletines mensuales.
- Se celebra una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Al igual que el año pasado se anuncian graves vulnerabilidades en Internet Explorer, Firefox, Chrome y Safari. Adobe Flash y Reader tampoco salieron indemnes. Días después los diferentes fabricantes anuncias las actualizaciones que corrigen dichos problemas.
Más información:
una-al-dia (13/01/2015) Boletines
de seguridad de Microsoft de enero
una-al-dia (14/01/2015)
com.android.vulnerable.indefinidamenteSiInferiorAKitKat
una-al-dia (15/01/2015) Boletín
de seguridad para Adobe Flash Player
una-al-dia (22/01/2015)
Actualización de Adobe Flash Player para evitar un 0-day
una-al-dia (16/01/2015) Mozilla
publica Firefox 35 y corrige 10 nuevas vulnerabilidades
una-al-dia (20/01/2015) Oracle
corrige 169 vulnerabilidades en su actualización de seguridad de enero
una-al-dia (28/01/2015)
GetRootByGetHostByName
una-al-dia (01/02/2015) BMW
actualiza el software de más de 2 millones de automóviles por una vulnerabilidad
una-al-dia (02/02/2015)
Complementos nativos, tenemos que hablar de lo nuestro
una-al-dia (03/02/2015) Nueva
edición del anuario "Una al día. 16 Años de seguridad informática"
una-al-dia (06/02/2015) Adobe,
más de lo mismo
una-al-dia (17/02/2015) ONTSI e
INCIBE publica el "Estudio sobre la Ciberseguridad y Confianza en los
hogares españoles"
una-al-dia (10/02/2015) Boletines
de seguridad de Microsoft de febrero
una-al-dia (19/02/2015) INCIBE
publica un informe de situación del malware para Android
una-al-dia (20/02/2015)
Portátiles Lenovo con malware de regalo
una-al-dia (24/02/2015) Mozilla
publica Firefox 36 y corrige 18 nuevas vulnerabilidades
una-al-dia (03/03/2015) FREAK, un
nuevo ataque a SSL/TLS
una-al-dia (06/03/2015) Google
publica Chrome 41 y corrige 51 vulnerabilidades
una-al-dia (10/03/2015)
Actualización de productos Apple incluye iOS y OS X
una-al-dia (11/03/2015) Microsoft
publica 14 boletines de seguridad
una-al-dia (12/03/2015) Stuxnet o
la vulnerabilidad que Microsoft nunca corrigió
una-al-dia (14/03/2015)
Actualización para Adobe Flash Player
una-al-dia (21/03/2015) Internet
Explorer, Firefox, Chrome y Safari caen en el Pwn2Own 2015
una-al-dia (31/03/2015) Mozilla
publica Firefox 37 y corrige 17 nuevas vulnerabilidades
Antonio Ropero
Twitter: @aropero
