Universidad Veracruzana

Skip to main content
Universidad Veracruzana

Noti_infosegura: Las 30 vulnerabilidades más explotadas de acuerdo al análisis del Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes)

Fruto del análisis de varios CERTs se ha publicado una lista que pretende alertar de las 30 vulnerabilidades más empleadas en la gran mayoría de los ataques.

La lista publicada por el US-CERT está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia.

El desarrollo de esta lista viene del hecho de que más del 85 por ciento de los ataques contra infraestructuras críticas podrían evitarse mediante el uso de estrategias adecuadas como el bloqueo de software malicioso, restringir los privilegios administrativos y parchear aplicaciones y sistemas operativos. La alerta publicada ofrece la información de las 30 vulnerabilidades más empleadas en estos ataques, para todas ellas existen parches y actualizaciones que evitarían cualquier problema.

Las vulnerabilidades afectan a software de Adobe, Microsoft, Oracle (Java) y OpenSSL.

Sorprende encontrar entre la lista una vulnerabilidad de incluso hace 10 años, como un problema en Internet Explorer en la interpretación de caracteres ASCII extendido (CVE-2006-3227). Aunque no deja de ser preocupante que la gran mayoría de las vulnerabilidades descritas tienen más de tres años de antigüedad.

Es el software de Microsoft el que abarca la mayor parte del listado, con 16 vulnerabilidades, los problemas se centran principalmente en el navegador Internet Explorer y Office. Por otra parte, tampoco sorprende descubrir 11 vulnerabilidades en productos Adobe principalmente en Reader y Acrobat.

Por último dos vulnerabilidades en Java y una en OpenSSL, la conocida como Heartbleed.

Microsoft

CVE Affected Products Patching Information
CVE-2006-3227 ​Internet Explorer Microsoft Malware Protection Encyclopedia Entry
CVE-2008-2244 Office Word Microsoft Security Bulletin MS08-042
CVE-2009-3129 Office
Office for Mac
Open XML File Format Converter for Mac
Office Excel Viewer
Excel
Office Compatibility Pack for Word, Excel, and PowerPoint		 Microsoft Security Bulletin MS09-067
​CVE-2009-3674 ​Internet Explorer ​Microsoft Security Bulletin MS09-072
CVE-2010-0806​ ​Internet Explorer Microsoft Security Bulletin MS10-018
CVE-2010-3333 Office
Office for Mac
Open XML File Format Converter for Mac		 Microsoft Security Bulletin MS10-087
CVE-2011-0101 Excel Microsoft Security Bulletin MS11-021
CVE-2012-0158 Office
SQL Server
BizTalk Server
Commerce Server
Visual FoxPro
Visual Basic		 Microsoft Security Bulletin MS12-027
CVE-2012-1856 Office
SQL Server
Commerce Server
Host Integration Server
Visual FoxPro Visual Basic		 Microsoft Security Bulletin MS12-060
​CVE-2012-4792 ​Internet Explorer ​Microsoft Security Bulletin MS13-008
CVE-2013-0074 ​Silverlight and Developer Runtime Microsoft Security Bulletin MS13-022
CVE-2013-1347 ​Internet Explorer Microsoft Security Bulletin MS13-038
CVE-2014-0322​ ​​Internet Explorer Microsoft Security Bulletin MS14-012
CVE-2014-1761 Microsoft Word
Office Word Viewer
Office Compatibility Pack
Office for Mac
Word Automation Services on SharePoint Server
Office Web Apps
Office Web Apps Server		 Microsoft Security Bulletin MS14-017
​CVE-2014-1776 ​Internet Explorer Microsoft Security Bulletin MS14-021
CVE-2014-4114 ​Windows Microsoft Security Bulletin MS14-060

Oracle

CVE Affected Products Patching Information
CVE-2012-1723 Java Development Kit, SDK, and JRE Oracle Java SE Critical Patch Update Advisory – June 2012
CVE-2013-2465 Java Development Kit and JRE Oracle Java SE Critical Patch Update Advisory – June 2013

Adobe

CVE Affected Products Patching Information
​CVE-2009-3953 Acrobat Reader​ Adobe Security Bulletin APSB10-02​
​CVE-2010-0188 Acrobat Reader​ Adobe Security Bulletin APSB10-07
CVE-2010-2883 Acrobat Reader​ Adobe Security Bulletin APSB10-21
CVE-2011-0611 ​Flash Player
AIR
Acrobat Reader		 Adobe Security Bulletin APSB11-07
Adobe Security Bulletin APSB11-08​
​CVE-2011-2462 Acrobat Reader​ Adobe Security Bulletin APSB11-30
​CVE-2013-0625 ColdFusion​ Adobe Security Bulletin APSB13-03
CVE-2013-0632 ​ColdFusion Adobe Security Bulletin APSB13-03
​CVE-2013-2729 ​Reader Acrobat Adobe Security Bulletin APSB13-15
​CVE-2013-3336 ​ColdFusion Adobe Security Bulletin APSB13-13
CVE-2013-5326 ​ColdFusion Adobe Security Bulletin APSB13-27
CVE-2014-0564 Flash Player
AIR
AIR SDK & Compiler		 Adobe Security Bulletin APSB14-22

OpenSSL

CVE Affected Product Patching Information
CVE-2014-0160 OpenSSL CERT Vulnerability Note VU#720951

Fuente: http://blog.segu-info.com.ar/2015/

Fecha de consulta: 08 Mayo 2015

 

Ubicación

Rectoría.
Lomas del Estadio SN.
Col. Zona Universitara.
Xalapa, Veracruz.

(228) 8 421700, Ext. 11532

Transparencia
Transparencia
Información financiera presupuestal Gobierno Abierto Avisos de Privacidad

Código de ética

Última actualización

Fecha: 25 abril, 2024 Responsable: Coordinación de Gestión de Incidentes de Ciberseguridad Contacto: contactocsirt@uv.mx