Termina
el año y desde Hispasec un año más echamos la vista atrás para recordar y
analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2016
en cuestión de seguridad informática. En cuatro entregas (tres meses por
entrega) destacaremos muy brevemente lo
que hemos considerado las noticias más importantes de cada mes publicadas
en nuestro boletín diario.
Abril 2016:
- A primeros de mes Adobe
confirma la existencia de un 0-day
en Flash Player que se está explotando en sistemas con Windows 10 (y
anteriores), pocos días después lo soluciona
junto con otras 23 vulnerabilidades que afectan al popular reproductor.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica 13 boletines de seguridad, que solucionan 40 vulnerabilidades. Oracle
en su actualización trimestral corrige 136 nuevas vulnerabilidades en productos
como Oracle Database, Solaris, Java o MySQL. Mientras que Google
publica Chrome 50 y corrige 20 vulnerabilidades. Mozilla publica Firefox 46 y
corrige 14 nuevas vulnerabilidades
- A través de un comunicado ZDI (Zero Day Initiative) y Trend Micro Apple confirma que deja de ofrecer soporte a la versión Windows de QuickTime incluso dejando graves vulnerabilidades sin corregir. Todo indica que ha llegado el momento de desinstalar QuickTime para Windows.
Mayo 2016:
- El CCN-CERT publica
un informe de "Ciberamenazas
2015 y Tendencias 2016" que hace balance de los principales
ciberincidentes registrados el pasado año, que cifra en 18.232, las herramientas
empleadas y las vulnerabilidades encontradas.
- Una vez más, el software preinstalado
vuelve a causar problemas en equipos
Lenovo. En esta ocasión, la herramienta de soporte "Lenovo Solution Center",
preinstalada y activa en millones de portátiles, equipos de escritorio y
tabletas Lenovo, se ve afectada por una vulnerabilidad que podría permitir a un
atacante local elevar sus privilegios en el sistema.
- Dentro de su ciclo habitual de actualizaciones Microsoft publica 16 boletines de seguridad, que solucionan 58 vulnerabilidades. Adobe publica tres boletines de seguridad para anunciar actualizaciones para solucionar un total de 120 vulnerabilidades (incluido un nuevo 0-day) en Flash Player, ColdFusion, Adobe Reader y Acrobat. Apple publica actualizaciones para OS X (OS X El Capitan 10.11.5), iOS 9.3.2, Safari 9.1.1, iOS 9.3.2, tvOS 9.2.1, iTunes 12.4 y watchOS 2.2.1: en total soluciona 77 nuevas vulnerabilidades.
Junio 2016:
- Otra vez más Lenovo
sufre un problema con las aplicaciones preinstaladas. En esta ocasión el
problema reside en "Lenovo
Accelerator Application", una aplicación destinada a acelerar la
ejecución de otras aplicaciones Lenovo preinstaladas en Windows 10. Que sufre una
vulnerabilidad que podría permitir a atacantes remotos realizar ataques de
hombre en el medio. No se publica actualización y Lenovo recomienda su
desinstalación.
- Mozilla publica Firefox
47 y corrige 14 nuevas vulnerabilidades. Dentro de su ciclo habitual de
actualizaciones Microsoft
publica 16 boletines de seguridad, que solucionan 36 vulnerabilidades. Adobe
publica seis boletines de seguridad para anunciar actualizaciones que solucionan
43 vulnerabilidades en Flash (incluido un 0day), DNG Software Development Kit
(SDK), Brackets, Creative Cloud Desktop Application, Cold Fusion y Adobe AIR.
- El Observatorio Nacional de las
Telecomunicaciones y de la Sociedad de la Información (ONTSI) presenta una
nueva edición
del "Estudio sobre la Ciberseguridad
y Confianza en los hogares españoles". Esta investigación analiza el
estado de la ciberseguridad en los hogares digitales españoles. Hispasec colabora
en realización
de este estudio, mediante el desarrollo y utilización del software Pinkerton. Destinado
a analizar y recoger datos de los sistemas.
- Lenovo publica una nueva versión de su herramienta de soporte "Lenovo Solution Center", preinstalada y activa en millones de sus equipos, debido a que se ve afectada por dos vulnerabilidades que podrían permitir a atacantes locales ejecutar código arbitrario.
Más información:
una-al-dia (06/04/2016) Nuevo
0-day en Adobe Flash Player
una-al-dia (08/04/2016) Adobe
soluciona el 0-day y otras 23 vulnerabilidades en Flash Player
una-al-dia (12/04/2016) Microsoft
publica 13 boletines de seguridad y soluciona 40 vulnerabilidades
una-al-dia (14/04/2016) Google
publica Chrome 50 y corrige 20 vulnerabilidades
una-al-dia (15/04/2016) Si tienes
QuickTime, llegó el momento de desinstalarlo
una-al-dia (20/04/2016) Oracle
corrige 136 vulnerabilidades en su actualización de seguridad de abril
una-al-dia (27/04/2016) Mozilla
publica Firefox 46 y corrige 14 nuevas vulnerabilidades
una-al-dia (02/05/2016) El
CCN-CERT publica Informe de Ciberamenazas 2015 y Tendencias 2016
una-al-dia (08/05/2016) El
software preinstalado vuelve a causar problemas en equipos Lenovo
una-al-dia (10/05/2016) Microsoft
publica 16 boletines de seguridad y soluciona 58 vulnerabilidades
una-al-dia (12/05/2016)
Actualizaciones de seguridad para Adobe Acrobat, Reader, Flash Player y
ColdFusion
una-al-dia (17/05/2016) Apple
publica actualizaciones para múltiples productos: OS X El Capitan, Safari, iOS,
watchOS, iTunes y tvOS
una-al-dia (03/06/2016) Otra vez
Lenovo y las aplicaciones preinstaladas
una-al-dia (07/06/2016) Mozilla
publica Firefox 47 y corrige 14 nuevas vulnerabilidades
una-al-dia (14/06/2016) Microsoft
publica 16 boletines de seguridad y soluciona 36 vulnerabilidades
una-al-dia (15/06/2016) ONTSI
presenta una nueva edición del "Estudio sobre la Ciberseguridad y
Confianza en los hogares españoles"
una-al-dia (16/06/2016)
Actualizaciones de seguridad para múltiples productos Adobe
una-al-dia (24/06/2016) De nuevo
Lenovo y su software preinstalado
Antonio Ropero
Twitter: @aropero
