En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.
Julio 2011:
* Se publican todos los detalles de un grave fallo de seguridad presente durante siete años en OpenSSH de FreeBSD 4.
* Tiene lugar el primer "workshop" del proyecto SysSec, una red de excelencia del campo de la seguridad de sistemas, en el que participa Hispasec.
* Microsoft publica cuatro boletines destinados a solucionar 22 vulnerabilidades. Apple corrige 57 vulnerabilidades en Safari y Oracle publica un conjunto de parches para múltiples de sus productos para solventar 78 nuevas vulnerabilidades.
* Se descubre una vulnerabilidad que permite el control total del firmware de las baterías de los portátiles (MacBook, MacBookPro y MacBook Air ) de Apple,
Agosto 2011:
* Hispasec realiza un estudio sobre once fabricantes para conocer cuánto tardan en corregir sus vulnerabilidades reportadas de forma privada.
Como conclusiones Mozilla es el fabricante que menos tarda en resolver vulnerabilidades y RealNetworks el que más. La media global son 6 meses
* Se encuentra la primera vulnerabilidad en el estándar de cifrado AES reduciendo la longitud efectiva de la clave en 2 bits. En un sentido estrictamente académico, el algoritmo está "roto" sin embargo esta debilidad no afecta a su seguridad.
* Se detecta que la entidad de confianza DigiNotar ha firmado un certificado fraudulento que pretende legitimar páginas falsas de cualquier subdominio de Google (*.google.com).
Septiembre 2011:
* Se anuncia que los servidores de Kernel.org han estado comprometidos durante más de dos semanas. Aunque los atacantes llegan a tener acceso root a ciertos servidores, no se teme por la modificación de los archivos del kernel.
* El compromiso de DigiNotar, y la detección de certificados falsos emitidos por esta entidad obliga a Microsoft a publicar, en forma de actualización automática, su segunda revocación de certificados de 2011.
* Sergio de los Santos de Hispasec Sistemas publica el libro "Máxima Seguridad en Windows: Secretos Técnicos", editado en la colección de Informatica64. El libro abarca técnicas de seguridad avanzada en Windows, y está destinado a profesionales y usuarios preocupados por la seguridad que quieran proteger realmente un Windows actual sin recurrir a los consejos tradicionales y desfasados.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/resumen-de-seguridad-de-2011-iii.html#comments
Más información:
una-al-dia (05/07/2011) Grave fallo de seguridad en OpenSSH de FreeBSD, descubierto siete años después http://unaaldia.hispasec.com/2011/07/grave-fallo-de-seguridad-en-openssh-de.html
una-al-dia (08/07/2011) Primer workshop del proyecto SysSec
http://unaaldia.hispasec.com/2011/07/primer-workshop-del-proyecto-syssec.html
una-al-dia (13/07/2011) Boletines de seguridad de Microsoft de julio
http://unaaldia.hispasec.com/2011/07/boletines-de-seguridad-de-microsoft-de.html
una-al-dia (20/07/2011) Apple corrige 57 vulnerabilidades en Safari
http://unaaldia.hispasec.com/2011/07/apple-corrige-57-vulnerabilidades-en.html
una-al-dia (22/07/2011) Parches Críticos de julio para múltiples productos Oracle
http://unaaldia.hispasec.com/2011/07/parches-criticos-de-julio-para.html
una-al-dia (24/07/2011) Contraseña por defecto para manipular las baterías de los MacBook
http://unaaldia.hispasec.com/2011/07/contrasena-por-defecto-para-manipular.html
una-al-dia (03/08/2011) Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses http://unaaldia.hispasec.com/2011/08/estudio-mozilla-es-el-fabricante-que.html
una-al-dia (24/08/2011) El cifrado AES, ¿está roto o no?
http://unaaldia.hispasec.com/2011/08/el-cifrado-aes-esta-roto-o-no.html
una-al-dia (30/08/2011) Se detecta otro certificado falso de Google
http://unaaldia.hispasec.com/2011/08/se-detecta-otro-certificado-falso-de.html
una-al-dia (01/09/2011) Servidores de Kernel.org comprometidos durante más de dos semanas
http://unaaldia.hispasec.com/2011/09/servidores-de-kernelorg-comprometidos.html
una-al-dia (07/09/2011) DigiNotar: La tercera revocación masiva en 10 años
http://unaaldia.hispasec.com/2011/09/diginotar-la-tercera-revocacion-masiva.html
una-al-dia (15/09/2011) Libro: "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos http://unaaldia.hispasec.com/2011/09/libro-seguridad-en-windows-secretos.html
Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
