SANS ha publicado la actualización de su conocido Top 20 de vulnerabilidades críticas en Sistemas de la Información, introduciendo una nueva característica respecto a años anteriores, y son las actualizaciones trimestrales.
La lista del primer trimestre de 2005 está publicada en la web de SANS, y la naturaleza de estas vulnerabilidades es variopinta. Se listan por fabricante, y la verdad, encuentro algo desordenado el listado (el Top 20 de SANS normalmente es un Top 10 de vunerabilidades en sistemas Microsoft y un Top 10 vulnerabilidades en entornos UNIX). En productos Microsoft tenemos la siguiente lista:
- Windows License Logging Service Overflow (MS05-010)
- Microsoft Server Message Block(SMB) Vulnerability (MS05-011)
- Internet Explorer Vulnerabilities (MS05-014 and MS05-008)
- Microsoft HTML Help ActiveX Control Vulnerability (MS05-001)
- Microsoft DHTML Edit ActiveX Remote Code Execution (MS05-013)
- Microsoft Cursor and Icon Handling Overflow (MS05-002)
- Microsoft PNG File Processing Vulnerabilities (MS05-009)
Otros fabricantes y vendedores que están en esta actualización son los siguientes
- Computer Associates License Manager Buffer Overflows
- DNS Cache Poisoning Vulnerability
- Multiple Antivirus Products Buffer Overflow Vulnerabilities
- Oracle Critical Patch Update
- Multiple Media Player Buffer Overflows (RealPlayer, Winamp and iTunes)
A ver qué nos depara el 2005 en materia de seguridad. Personalmente espero que mejor que en el 2004, donde las cosas fueron bastante mal para todos los sectores y plataformas en general, con un crecimiento muy notorio de fallas, vulnerabilidades y problemas asociados a éstas.