Via Hispasec
Termina el año y desde Hispasec continuamos con este breve resumen del
año, para en esta ocasión recordar y analizar con perspectiva lo que ha
sido el tercer trimestre de 2009 en cuestión de seguridad informática.
Estas son las que consideramos las noticias más importantes de cada mes
publicadas en nuestro boletín diario.
Julio 2009:
* Se revela la posibilidad de llegar ejecuta código a través de SMS en
iPhone, mientras Apple trabaja en un parche para arreglar el problema
que podría permitir la ejecución de código arbitrario en el iPhone al
recibir un SMS especialmente manipulado.
* Este es el mes de los fallos en Twitter, centrado en la API del
popular servicio de "la nube".
* Se da a conocer un nuevo "0 day" en un ActiveX de Microsoft. A finales
de mes Adobe también se ve afectada por un "0-day" en Reader, Acrobat y
Flash Player. Posteriormente se descubre que ambas compañías conocían
los fallos desde 2008.
* Tras la publicación de Security Essentials el antivirus gratuito de
Microsoft, el jefe de producto de Symantec realiza unas declaraciones en
contra de las soluciones antivirus gratuitas, afirmando que "No son
suficientes para mantener al usuario seguro". Sin embargo el problema no
radica en la gratuidad o no de las soluciones antivirus.
Agosto 2009:
* Dos investigadores japoneses mejoran un ataque ya conocido sobre WPA,
acelerando el proceso de 15 minutos a 1. El ataque es muy limitado y
solo permite inyectar paquetes de información pequeños bajo ciertas
circunstancias.
* Publicamos unos documentos técnicos (White Papers) sobre una
vulnerabilidad en Asterisk investigada por nuestro compañero Hugo.
Permitía provocar una denegación de servicio sin necesidad de
autenticarse.
* A finales de mes los servidores de la fundación Apache sufren un
ataque, durante un tiempo gran parte de su infraestructura permanece
detenida para evaluar los daños causados por los atacantes. Se sabe que
el problema surge por una llave SSH comprometida.
Septiembre 2009:
* Se anuncia un fallo de seguridad en Windows Vista y 7 que podría
permitir a un atacante provocar un BSOD (pantallazo azul, una denegación
de servicio) con solo enviar algunos paquetes de red manipulados a una
máquina que tenga activos los servicios de compartición de archivos
(protocolo SMB). El ataque es tan sencillo que recuerda a los "pings de
la muerte" que hicieron estragos a finales de los 90 en los sistemas
Windows. Poco después de descubriría que el ataque permitía la ejecución
de código arbitrario.
* Cisco y Microsoft, seguida posteriormente de Check Point, fueron los
primeros fabricantes en publicar parche para la vulnerabilidad
"Sockstress" (revelada en octubre de 2008) del protocolo TCP. El
problema residía en un error en la implementación TCP al no realizar de
forma correcta la limpieza de la información de estado y llegaba a
afectar a todos los sistemas y dispositivos que implementaran una pila
TCP.
* Hispasec publica el estudio comparativo: "¿Cuánto tardan los grandes
fabricantes de software en arreglar una vulnerabilidad?". En el que
analizamos el tiempo que tarda un fabricante en hacer pública una
solución para una vulnerabilidad cuando solo es conocida por ellos y
quien la ha descubierto. Se analizaron 449 vulnerabilidades y los
fabricantes estudiados fueron HP, Computer Associates, Adobe, Apple,
Microsoft, Novell, Symantec, Oracle, IBM y Sun. Una de las conclusiones
del estudio fue que la media de los grandes fabricantes para solucionar
una vulnerabilidad es de seis meses, independientemente de su gravedad.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4086/comentar
Más información:
una-al-dia (29/12/2009) Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084/
una-al-dia (30/12/2009) Resumen de seguridad de 2009 (II)
http://www.hispasec.com/unaaldia/4085/
Antonio Ropero
Me gusta esto:
Me gusta Cargando...
Relacionado