Las 30 vulnerabilidades explotadas más comunes

Posted onAuthorASILeave a comment

El CERT de los EEUU ha publicado una alerta con información de las 30 vulnerabilidades explotadas más comunes utilizadas en ataques cibernéticos. La alerta publica también recomendaciones de prevención y mitigación.

De acuerdo con el CERT los atacantes siguen explotando software que no ha sido actualizado con los parches de seguridad publicados por los fabricantes. Se aprovechan de las vulnerabilidades conocidas para realizar ataques a la infraestructura crítica de las organizaciones.

La alerta está basada en el análisis hecho CCIRC (Canadian Cyber Incident Response Centre) y desarrollado en colaboración con organizaciones de respuesta a incidentes de seguridad de Canadá, Nueva Zelanda, Reino Unido, y Australia.

Las vulnerabilidades relacionadas son para productos de software de Adobe, Microsoft, Oracle, y OpenSSL. Los sistemas que ejecutan estos productos desactualizados están bajo riesgo de ataque debido a que las vulnerabilidades ya corregidas son objeto de ataque consistente.

Microsoft
CVE Productos Afectados Información de Parche
CVE-2006-3227 ​Internet Explorer Microsoft Malware Protection Encyclopedia Entry
CVE-2008-2244 Office Word Microsoft Security Bulletin MS08-042
CVE-2009-3129 Office
Office for Mac
Open XML File Format Converter for Mac
Office Excel Viewer
Excel
Office Compatibility Pack for Word, Excel, and PowerPoint		 Microsoft Security Bulletin MS09-067
​CVE-2009-3674 ​Internet Explorer ​Microsoft Security Bulletin MS09-072
CVE-2010-0806​ ​Internet Explorer Microsoft Security Bulletin MS10-018
CVE-2010-3333 Office
Office for Mac
Open XML File Format Converter for Mac		 Microsoft Security Bulletin MS10-087
CVE-2011-0101 Excel  Microsoft Security Bulletin MS11-021
CVE-2012-0158 Office
SQL Server
BizTalk Server
Commerce Server
Visual FoxPro
Visual Basic		 Microsoft Security Bulletin MS12-027
CVE-2012-1856 Office
SQL Server
Commerce Server
Host Integration Server
Visual FoxPro Visual Basic		 Microsoft Security Bulletin MS12-060
​CVE-2012-4792 ​Internet Explorer ​Microsoft Security Bulletin MS13-008
CVE-2013-0074 ​Silverlight and Developer Runtime Microsoft Security Bulletin MS13-022
CVE-2013-1347 ​Internet Explorer Microsoft Security Bulletin MS13-038
CVE-2014-0322​ ​​Internet Explorer Microsoft Security Bulletin MS14-012
CVE-2014-1761 Microsoft Word
Office Word Viewer
Office Compatibility Pack
Office for Mac
Word Automation Services on SharePoint Server
Office Web Apps
Office Web Apps Server		 Microsoft Security Bulletin MS14-017
​CVE-2014-1776 ​Internet Explorer Microsoft Security Bulletin MS14-021
CVE-2014-4114 ​Windows Microsoft Security Bulletin MS14-060

 

Oracle
CVE Productos Afectados Información de Parche
CVE-2012-1723 Java Development Kit, SDK, and JRE Oracle Java SE Critical Patch Update Advisory – June 2012
CVE-2013-2465 Java Development Kit and JRE Oracle Java SE Critical Patch Update Advisory – June 2013

 

Adobe
CVE Productos Afectados Información de Parche
​CVE-2009-3953 ReaderAcrobat ​ Adobe Security Bulletin APSB10-02​
​CVE-2010-0188 ​ReaderAcrobat Adobe Security Bulletin APSB10-07
CVE-2010-2883 ReaderAcrobat ​ Adobe Security Bulletin APSB10-21
CVE-2011-0611 ​Flash PlayerAIR
ReaderAcrobat		 Adobe Security Bulletin APSB11-07Adobe Security Bulletin APSB11-08​
​CVE-2011-2462 ReaderAcrobat ​ Adobe Security Bulletin APSB11-30
​CVE-2013-0625 ColdFusion​ Adobe Security Bulletin APSB13-03
CVE-2013-0632 ​ColdFusion Adobe Security Bulletin APSB13-03
​CVE-2013-2729 ​ReaderAcrobat Adobe Security Bulletin APSB13-15
​CVE-2013-3336 ​ColdFusion Adobe Security Bulletin APSB13-13
CVE-2013-5326 ​ColdFusion Adobe Security Bulletin APSB13-27
CVE-2014-0564 Flash Player
AIR
AIR SDK & Compiler		 Adobe Security Bulletin APSB14-22

 

OpenSSL
CVE Productos Afectados Información de Parche
CVE-2014-0160 OpenSSL CERT Vulnerability Note VU#720951

Es recomendable mantener actualizado el software con los parches de seguridad provistos por el fabricante. Las organizaciones deben implementar el proceso de gestión de parches para asegurar la implementación oportuna de las actualizaciones de seguridad.

Deja una respuesta