Resumen de seguridad de 2009 (III)

Via Hispasec
Termina el año y desde Hispasec continuamos con este breve resumen del 
año, para en esta ocasión recordar y analizar con perspectiva lo que ha 
sido el tercer trimestre de 2009 en cuestión de seguridad informática. 
Estas son las que consideramos las noticias más importantes de cada mes 
publicadas en nuestro boletín diario. 

Julio 2009: 

* Se revela la posibilidad de llegar ejecuta código a través de SMS en 
iPhone, mientras Apple trabaja en un parche para arreglar el problema 
que podría permitir la ejecución de código arbitrario en el iPhone al 
recibir un SMS especialmente manipulado. 

* Este es el mes de los fallos en Twitter, centrado en la API del 
popular servicio de "la nube". 

* Se da a conocer un nuevo "0 day" en un ActiveX de Microsoft. A finales 
de mes Adobe también se ve afectada por un "0-day" en Reader, Acrobat y 
Flash Player. Posteriormente se descubre que ambas compañías conocían 
los fallos desde 2008. 

* Tras la publicación de Security Essentials el antivirus gratuito de 
Microsoft, el jefe de producto de Symantec realiza unas declaraciones en 
contra de las soluciones antivirus gratuitas, afirmando que "No son 
suficientes para mantener al usuario seguro". Sin embargo el problema no 
radica en la gratuidad o no de las soluciones antivirus. 

Agosto 2009: 

* Dos investigadores japoneses mejoran un ataque ya conocido sobre WPA, 
acelerando el proceso de 15 minutos a 1. El ataque es muy limitado y 
solo permite inyectar paquetes de información pequeños bajo ciertas 
circunstancias. 

* Publicamos unos documentos técnicos (White Papers) sobre una 
vulnerabilidad en Asterisk investigada por nuestro compañero Hugo. 
Permitía provocar una denegación de servicio sin necesidad de 
autenticarse. 

* A finales de mes los servidores de la fundación Apache sufren un 
ataque, durante un tiempo gran parte de su infraestructura permanece 
detenida para evaluar los daños causados por los atacantes. Se sabe que 
el problema surge por una llave SSH comprometida. 

Septiembre 2009: 

* Se anuncia un fallo de seguridad en Windows Vista y 7 que podría 
permitir a un atacante provocar un BSOD (pantallazo azul, una denegación 
de servicio) con solo enviar algunos paquetes de red manipulados a una 
máquina que tenga activos los servicios de compartición de archivos 
(protocolo SMB). El ataque es tan sencillo que recuerda a los "pings de 
la muerte" que hicieron estragos a finales de los 90 en los sistemas 
Windows. Poco después de descubriría que el ataque permitía la ejecución 
de código arbitrario. 

* Cisco y Microsoft, seguida posteriormente de Check Point, fueron los 
primeros fabricantes en publicar parche para la vulnerabilidad 
"Sockstress" (revelada en octubre de 2008) del protocolo TCP. El 
problema residía en un error en la implementación TCP al no realizar de 
forma correcta la limpieza de la información de estado y llegaba a 
afectar a todos los sistemas y dispositivos que implementaran una pila 
TCP. 

* Hispasec publica el estudio comparativo: "¿Cuánto tardan los grandes 
fabricantes de software en arreglar una vulnerabilidad?". En el que 
analizamos el tiempo que tarda un fabricante en hacer pública una 
solución para una vulnerabilidad cuando solo es conocida por ellos y 
quien la ha descubierto. Se analizaron 449 vulnerabilidades y los 
fabricantes estudiados fueron HP, Computer Associates, Adobe, Apple, 
Microsoft, Novell, Symantec, Oracle, IBM y Sun. Una de las conclusiones 
del estudio fue que la media de los grandes fabricantes para solucionar 
una vulnerabilidad es de seis meses, independientemente de su gravedad. 

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4086/comentar

Más información:

una-al-dia (29/12/2009) Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084/

una-al-dia (30/12/2009) Resumen de seguridad de 2009 (II)
http://www.hispasec.com/unaaldia/4085/

Antonio Ropero

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Scroll al inicio