CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/01/2015

Boletín 10/01/2015 - 23/01/2015

El cambio de año está reciente y, tal y como indicamos en nuestro anterior boletín, se siguen sucediendo los informes recopilatorios con lo más sonado del año que acabamos de dejar y de previsión de tendencias para este 2015 que acabamos de recibir.

En lo que respecta a las tendencias para el nuevo año, FortiGuard Labs ha publicado un informe en el que predice que 2015 será el año en el que el 'Internet de las cosas' se convierta en el 'Internet de las amenazas', y en el que los ciberdelincuentes descubrirán nuevas técnicas de evasión para evitar ser detectados ante la creciente inversión en medios y técnicas contra ellos.

Por otra parte, repasando el 2014 tenemos a ESET con su Informe Anual de Seguridad, en el que se hace un repaso por los incidentes más relevantes ocurridos durante 2014, entre los que encontramos las brechas de seguridad a eBay y Paypal, el Celebgate (publicación de fotos íntimas de famosas), y POODLE.

Otro informe interesante sobre 2014 es el de SplashData, en el que muestra, a partir de todos los robos de credenciales ocurridos durante el año, las contraseñas más utilizadas por los usuarios. A pesar de los esfuerzos en concienciación y formación que se están realizando desde distintos frentes (incluido CSIRT-cv) vemos que 'password' y '123456' siguen siendo un año más las contraseñas más comunes.

Otra cosa que parece que no cambia es la relación entre Microsoft y Google. Si el 2014 finalizó con un tenso debate sobre el 'full disclosure' después de que los chicos de Project Zero publicaran una vulnerabilidad en las últimas versiones de Windows antes de que Microsoft publicara el parche correspondiente, el 2015 ha empezado igual, ya que en los últimos días Project Zero ha publicado dos vulnerabilidades más en Windows 7, 8 y 8.1. Destaca que Microsoft no considera que uno de los reportes publicados sea una vulnerabilidad, por lo que no va a solucionar el problema detectado, a pesar de existir una prueba de concepto.

Por último, destacamos el nuevo DNIe 3.0, presentado recientemente en Lleida por el Ministro del Interior Jorge Fernández Díaz y con la presencia de la nadadora olímpica Mireia Belmonte, que recibió el primer ejemplar de este nuevo DNI. Este nuevo soporte incluye mejoras en seguridad, equipara a nivel jurídico las firmas electrónica y manuscrita, e incorpora el sistema de comunicación sin contacto NFC.

Actualizaciones de programas

El mes de enero está siendo movido en lo que respecta a la publicación de boletines de seguridad y actualizaciones de aplicaciones.

Por un lado tenemos Adobe, que ha publicado dos boletines para Flash Player. El primero de ellos resuelve 9 vulnerabilidades críticas, mientras que el segundo, publicado ayer mismo, resuelve una vulnerabilidad de día cero que está siendo aprovechada actualmente.

Microsoft también ha publicado sus boletines de seguridad para el mes de enero, donde corrige 8 vulnerabilidades en sus productos, una de ellas considerada crítica.

Sin embargo es Oracle quien se lleva la palma en lo que a corrección de vulnerabilidades se refiere, ya que en su boletín de seguridad programado de enero ha solucionado un total de 169 vulnerabilidades en sus diferentes productos, incluyendo 19 para Java SE y 9 para MySQL Server, siendo remotamente explotables sin autenticación 14 y 3, respectivamente.

Últimas Alertas Últimas Noticias

CSIRT-CV