CERTs: 30 vulnerabilidades más reportadas

Image Courtesy of Stuart Miles at FreeDigitalPhotos

Sistemas Afectados

Todos aquellos sin parches de actualización de Adobe, Microsoft, Oracle, or OpenSSL.

Alcance

Los cibercriminales continúan explotando vulnerabilidades detectadas en programas de cómputo que no han sido actualizados con los parches de seguridad correspondientes, esto con la finalidad de realizar atques contra infraestructura crítica de organizaciones.

Por lo menos el 85% de estos ataques pueden ser prevenidos [1](link is external).

Esta alerta provee información de las 30 vulnerabilidades mas utilizadas para realizar esto ataques, acompañada de recomendaciones de prevención y mitigación de los riesgos.

La información está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia.

Impacto

Una intrusión exitosa en la red puede provocar impactos serios, particularmente si aquello que sea comprometido se hace público y a su vez, es expuesta información sensible. Los posibles daños incluyen:

Perdida temporal o permanente de información sensible o propietaria
Interrupción de operaciones,
Perdidas financieras relacionada con los costos de reestablecer sistemas y archivos, y
Daño potencial y reputacional a la organización

Solución

Actualización al día de software
Establecer procesos robustos para la aplicación de parches

Asegurar que se aplican medidas de prevención apropiadas contra posibles amenas

Vulnerabilidades

**Microsoft**
CVE	Affected Products	Patching Information
CVE-2006-3227	Internet Explorer	Microsoft Malware Protection Encyclopedia Entry
CVE-2008-2244	Office Word	Microsoft Security Bulletin MS08-042
CVE-2009-3129	Office Office for Mac Open XML File Format Converter for Mac Office Excel Viewer Excel Office Compatibility Pack for Word, Excel, and PowerPoint	Microsoft Security Bulletin MS09-067
CVE-2009-3674	Internet Explorer	Microsoft Security Bulletin MS09-072
CVE-2010-0806	Internet Explorer	Microsoft Security Bulletin MS10-018
CVE-2010-3333	Office Office for Mac Open XML File Format Converter for Mac	Microsoft Security Bulletin MS10-087
CVE-2011-0101	Excel	Microsoft Security Bulletin MS11-021
CVE-2012-0158	Office SQL Server BizTalk Server Commerce Server Visual FoxPro Visual Basic	Microsoft Security Bulletin MS12-027
CVE-2012-1856	Office SQL Server Commerce Server Host Integration Server Visual FoxPro Visual Basic	Microsoft Security Bulletin MS12-060
CVE-2012-4792	Internet Explorer	Microsoft Security Bulletin MS13-008
CVE-2013-0074	Silverlight and Developer Runtime	Microsoft Security Bulletin MS13-022
CVE-2013-1347	Internet Explorer	Microsoft Security Bulletin MS13-038
CVE-2014-0322	Internet Explorer	Microsoft Security Bulletin MS14-012
CVE-2014-1761	Microsoft Word Office Word Viewer Office Compatibility Pack Office for Mac Word Automation Services on SharePoint Server Office Web Apps Office Web Apps Server	Microsoft Security Bulletin MS14-017
CVE-2014-1776	Internet Explorer	Microsoft Security Bulletin MS14-021
CVE-2014-4114	Windows	Microsoft Security Bulletin MS14-060

**Oracle**
CVE	Affected Products	Patching Information
CVE-2012-1723	Java Development Kit, SDK, and JRE	Oracle Java SE Critical Patch Update Advisory – June 2012
CVE-2013-2465	Java Development Kit and JRE	Oracle Java SE Critical Patch Update Advisory – June 2013

**Adobe**
CVE	Affected Products	Patching Information
CVE-2009-3953	Reader Acrobat	Adobe Security Bulletin APSB10-02
CVE-2010-0188	Reader Acrobat	Adobe Security Bulletin APSB10-07
CVE-2010-2883	Reader Acrobat	Adobe Security Bulletin APSB10-21
CVE-2011-0611	Flash Player AIR Reader Acrobat	Adobe Security Bulletin APSB11-07 Adobe Security Bulletin APSB11-08
CVE-2011-2462	Reader Acrobat	Adobe Security Bulletin APSB11-30
CVE-2013-0625	ColdFusion	Adobe Security Bulletin APSB13-03
CVE-2013-0632	ColdFusion	Adobe Security Bulletin APSB13-03
CVE-2013-2729	Reader Acrobat	Adobe Security Bulletin APSB13-15
CVE-2013-3336	ColdFusion	Adobe Security Bulletin APSB13-13
CVE-2013-5326	ColdFusion	Adobe Security Bulletin APSB13-27
CVE-2014-0564	Flash Player AIR AIR SDK & Compiler	Adobe Security Bulletin APSB14-22

**OpenSSL**
CVE	Affected Product	Patching Information
CVE-2014-0160	OpenSSL	CERT Vulnerability Note VU#720951

Mayores referencias:
[1] Canadian Cyber Incident Response Centre, Top 4 Strategies to Mitigate Targeted Cyber Intrusions
[2] Canadian Cyber Incident Response Centre, TR11-002, Mitigation Guidelines for Advanced Persistent Threats
[3] US-CERT Security Tip (ST13-003): Handling Destructive Malware
[4] US-CERT Security Alert (TA15-119A): Top 30 Targeted High Risk Vulnerabilities

Ivonne Munoz

Abogada y Maestra en Comercio Electrónico
Dedicada al estudio de la relación entre Tecnología y Derecho desde 1999.
Escribo y también doy clases y conferencias de este tema además de ser consultora y Directora en IT Lawyers SC.
Auditor Líder ISO 27001:2013

Descargar artículo en formato PDF

Buscar

Categorías

Post

Alcance

Impacto

Solución

Vulnerabilidades

Social Media

Categorías

Suscríbete

Instagram

Facebook

Lo último

Popular

PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

AGOSTO | PROPIEDAD INTELECTUAL | PIXAR

CREACIÓN DE LA NASA

PROTECCIÓN DE DATOS PERSONALES Y MARCAS

Los pros y contras del MP3

¿Cómo funcionan los nuevos cambios al SPEI?

¿Cuál es la diferencia entre confidencialidad y privacidad?

Los fraudes inmobiliarios en Internet

Buscar

Categorías

Post

Sistemas Afectados

Alcance

Impacto

Solución

Vulnerabilidades

Related posts

Boletines de Seguridad Microsoft Febrero 2011

La seguridad en Java sigue siendo un desastre

Samsung y la seguridad

Banco del Bajío: No sufrimos ninguna afectación

Oracle Abril 2016 – 136 vulnerabilidades

Lulz Security ataca Sony Pictures

Deja un comentario Cancelar respuesta

Social Media

Categorías

Suscríbete

Instagram

Facebook

Lo último

Popular

PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

AGOSTO | PROPIEDAD INTELECTUAL | PIXAR

CREACIÓN DE LA NASA

PROTECCIÓN DE DATOS PERSONALES Y MARCAS

Los pros y contras del MP3

¿Cómo funcionan los nuevos cambios al SPEI?

¿Cuál es la diferencia entre confidencialidad y privacidad?

Los fraudes inmobiliarios en Internet