El CERT de los EEUU ha publicado una alerta con información de las 30 vulnerabilidades explotadas más comunes utilizadas en ataques cibernéticos. La alerta publica también recomendaciones de prevención y mitigación.
De acuerdo con el CERT los atacantes siguen explotando software que no ha sido actualizado con los parches de seguridad publicados por los fabricantes. Se aprovechan de las vulnerabilidades conocidas para realizar ataques a la infraestructura crítica de las organizaciones.
La alerta está basada en el análisis hecho CCIRC (Canadian Cyber Incident Response Centre) y desarrollado en colaboración con organizaciones de respuesta a incidentes de seguridad de Canadá, Nueva Zelanda, Reino Unido, y Australia.
Las vulnerabilidades relacionadas son para productos de software de Adobe, Microsoft, Oracle, y OpenSSL. Los sistemas que ejecutan estos productos desactualizados están bajo riesgo de ataque debido a que las vulnerabilidades ya corregidas son objeto de ataque consistente.
Microsoft | ||
CVE | Productos Afectados | Información de Parche |
CVE-2006-3227 | Internet Explorer | Microsoft Malware Protection Encyclopedia Entry |
CVE-2008-2244 | Office Word | Microsoft Security Bulletin MS08-042 |
CVE-2009-3129 | Office Office for Mac Open XML File Format Converter for Mac Office Excel Viewer Excel Office Compatibility Pack for Word, Excel, and PowerPoint |
Microsoft Security Bulletin MS09-067 |
CVE-2009-3674 | Internet Explorer | Microsoft Security Bulletin MS09-072 |
CVE-2010-0806 | Internet Explorer | Microsoft Security Bulletin MS10-018 |
CVE-2010-3333 | Office Office for Mac Open XML File Format Converter for Mac |
Microsoft Security Bulletin MS10-087 |
CVE-2011-0101 | Excel | Microsoft Security Bulletin MS11-021 |
CVE-2012-0158 | Office SQL Server BizTalk Server Commerce Server Visual FoxPro Visual Basic |
Microsoft Security Bulletin MS12-027 |
CVE-2012-1856 | Office SQL Server Commerce Server Host Integration Server Visual FoxPro Visual Basic |
Microsoft Security Bulletin MS12-060 |
CVE-2012-4792 | Internet Explorer | Microsoft Security Bulletin MS13-008 |
CVE-2013-0074 | Silverlight and Developer Runtime | Microsoft Security Bulletin MS13-022 |
CVE-2013-1347 | Internet Explorer | Microsoft Security Bulletin MS13-038 |
CVE-2014-0322 | Internet Explorer | Microsoft Security Bulletin MS14-012 |
CVE-2014-1761 | Microsoft Word Office Word Viewer Office Compatibility Pack Office for Mac Word Automation Services on SharePoint Server Office Web Apps Office Web Apps Server |
Microsoft Security Bulletin MS14-017 |
CVE-2014-1776 | Internet Explorer | Microsoft Security Bulletin MS14-021 |
CVE-2014-4114 | Windows | Microsoft Security Bulletin MS14-060 |
Oracle | ||
CVE | Productos Afectados | Información de Parche |
CVE-2012-1723 | Java Development Kit, SDK, and JRE | Oracle Java SE Critical Patch Update Advisory – June 2012 |
CVE-2013-2465 | Java Development Kit and JRE | Oracle Java SE Critical Patch Update Advisory – June 2013 |
Adobe | ||
CVE | Productos Afectados | Información de Parche |
CVE-2009-3953 | ReaderAcrobat | Adobe Security Bulletin APSB10-02 |
CVE-2010-0188 | ReaderAcrobat | Adobe Security Bulletin APSB10-07 |
CVE-2010-2883 | ReaderAcrobat | Adobe Security Bulletin APSB10-21 |
CVE-2011-0611 | Flash PlayerAIR ReaderAcrobat |
Adobe Security Bulletin APSB11-07Adobe Security Bulletin APSB11-08 |
CVE-2011-2462 | ReaderAcrobat | Adobe Security Bulletin APSB11-30 |
CVE-2013-0625 | ColdFusion | Adobe Security Bulletin APSB13-03 |
CVE-2013-0632 | ColdFusion | Adobe Security Bulletin APSB13-03 |
CVE-2013-2729 | ReaderAcrobat | Adobe Security Bulletin APSB13-15 |
CVE-2013-3336 | ColdFusion | Adobe Security Bulletin APSB13-13 |
CVE-2013-5326 | ColdFusion | Adobe Security Bulletin APSB13-27 |
CVE-2014-0564 | Flash Player AIR AIR SDK & Compiler |
Adobe Security Bulletin APSB14-22 |
OpenSSL | ||
CVE | Productos Afectados | Información de Parche |
CVE-2014-0160 | OpenSSL | CERT Vulnerability Note VU#720951 |
Es recomendable mantener actualizado el software con los parches de seguridad provistos por el fabricante. Las organizaciones deben implementar el proceso de gestión de parches para asegurar la implementación oportuna de las actualizaciones de seguridad.