Resumen de seguridad de 2015 (II)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2015 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2015:

Symantec anuncia el descubrimiento de Trojan.Laziok, una nueva muestra de malware que durante los primeros meses del año atacó de forma dirigida a empresas del sector energético de todo el mundo. Los correos empleados para la infección incluían un adjunto malicioso con un exploit para la vulnerabilidad CVE-2012-0158 en Office. De nuevo la misma vulnerabilidad, ya empleada en ataques conocidos como el Octubre Rojo y que fue corregida hace por Microsoft hace tres años.
Google publica un informe en el que resume el estado de seguridad de su plataforma móvil Android.
Dentro de su ciclo habitual de actualizaciones Microsoft publica 11 boletines de seguridad, que solucionan 25 vulnerabilidades. Apple por su parte publica iOS 8.3 para sus dispositivos móviles (iPhone, iPad, iPod… ), OS X Yosemite 10.10.3 y Security Update 2015-004, Safari, Xcode 6.3 y Apple TV 7.2; en total soluciona más de 200 vulnerabilidades. Mientras que Adobe publica tres boletines de seguridad para anunciar actualizaciones para solucionar un total de 24 vulnerabilidades en Flash Player, ColdFusión y Flex. Mientras que Google publica Chrome 42 y corrige 45 vulnerabilidades.

Mayo 2015:

Dentro de su ciclo habitual de actualizaciones Microsoft publica 13 boletines de seguridad, que solucionan 48 vulnerabilidades. Apple publica una actualización de seguridad para su navegador Safari (versiones 8.6, 7.1.6 y 6.2.6) que solventa cinco vulnerabilidades. Adobe publica dos boletines de seguridad para anunciar actualizaciones para solucionar un total de 52 vulnerabilidades en Flash Player, Adobe Reader y Acrobat. La Fundación Mozilla anuncia la publicación de la versión 38 de Firefox, junto con 13 boletines de seguridad que corrigen hasta 14 vulnerabilidades.
Se anuncia la vulnerabilidad Venom, que afecta a todos los sistemas de virtualización basados en QEMU, el popular emulador de fuente abierta.
Cuando ni siquiera ha llegado a España (ni a la mayoría de países) Apple publica la primera actualización para su reloj inteligente Apple Watch, en la que se solucionan hasta 13 vulnerabilidades.
La criptografía recibe un duro golpe por la vulnerabilidad Logjam, que reside en un fallo en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de "hombre en el medio" degradar la seguridad de las conexiones TLS a 512 bits.

Junio 2015

Dentro de su ciclo habitual de actualizaciones Microsoft publica ocho boletines de seguridad, que solucionan 44 vulnerabilidades. Adobe publica una actualización para Adobe Flash Player para evitar 13 nuevas vulnerabilidades que afectan al popular reproductor. A finales de mes se ve obligada a publicar una nueva actualización para evitar una nueva vulnerabilidad 0-day. Google publica una actualización de seguridad para su navegador Google Chrome para corregir cuatro nuevas vulnerabilidades.
Los Laboratorios Kaspersky publican un aviso en el que reconocen haber sufrido un ataque dirigido. Igualmente confirman que ninguno de sus productos, servicios o clientes se han visto afectados. Según el análisis de la firma las similitudes en el código, el malware y su plataforma asociada, hacen que quede bautizado como Duqu 2.0.
Un grupo de investigadores de varias universidades estadounidenses y chinas, publica un interesante estudio en el que muestran los resultados de las pruebas a las que han sometido el modelo de aislamiento de procesos de Apple. Como resultado demuestran el acceso al llavero del sistema y la evasión del proceso de aprobación de la App Store.
El Mitre.org, informa que la lista de CVEs sobrepasa los 70.000 identificadores únicos con nombres públicamente conocidos.