lunes, 20 de octubre de 2014

La actualización 8.1 de Apple iOS soluciona 5 vulnerabilidades

Apple ha liberado la versión 8.1 de su sistema operativo para móviles iOS. Esta versión, además de incluir nuevas funcionalidades y mejoras, contiene cinco correcciones a vulnerabilidades de diversa índole.

Tras los problemas iniciales con iOS y la publicación de las versiones 8.0.1 y 8.0.2 de iOS, dos meses después de la publicación de iOS 8 llega la versión 8.1. Con múltiples funciones nuevas, mejoras y correcciones. Además se han solucionado cinco vulnerabilidades.

Una vulnerabilidad podría permitir a un dispositivo de entrada Bluetooth malicioso establecer una conexión suplantando a un dispositivo legítimo (CVE-2014-4428). Otro problema, con CVE-2014-4448, residía en que archivos transferidos al dispositivo podían grabarse con insuficiente protección criptográfica.

Por otra parte, una vulnerabilidad en la validación de certificados TLS un atacante en una posición privilegiada en la red podría acceder a información sensible en el acceso de datos de clientes iCloud (CVE-2014-4449). Otra vulnerabilidad, con CVE-2014-4450, podría permitir a QuickType aprender las credenciales del usuario. Por último, también se incluye la corrección para la vulnerabilidad en SSL, anunciada recientemente y conocida como Poodle (CVE-2014-3566).

Esta nueva versión está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

About the security content of iOS 8.1

iOS 8.1

una-al-dia (28/09/2014) Apple publica iOS 8.0.2 para solucionar diversos problemas

una-al-dia (15/10/2014) SSL tocado y hundido


Antonio Ropero

Twitter: @aropero

domingo, 19 de octubre de 2014

Descubiertas vulnerabilidades en Panasonic Network Camera

Se han descubierto dos vulnerabilidades en Panasonic Network Camera View y Recorder, reportadas por Ariele Caltabiano (kimiya) y Andrea Micalizzi (rgod) respectivamente. Estas vulnerabilidades permitirían a atacantes remotos ejecutar código arbitrario en el sistema vulnerable.

Panasonic Network Camera View y Recorder permiten al usuario grabar y reproducir en su PC cualquier imagen con sonido a través de su cámara de red conectada con LAN o internet. Soporta formatos MPEG-4 y Motion JPEG, además de la norma H.264 que proporciona compresiones de vídeo de alta calidad.

La primera vulnerabilidad, con identificador CVE-2014-8755, se debe a un problema en la capacidad para anular una dirección arbitraria en la memoria en el método 'GetImageDataPrint' del control ActiveX WebVideoCam. Dicho error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web o un archivo, especialmente manipulados.

La segunda vulnerabilidad, con identificador CVE-2014-8756, se debe a que el método 'GetVOLHeader' puede ser usado para escribir bytes nulos en direcciones arbitrarias de memoria. Esto permite que un atacante remoto pueda ejecutar código arbitrario a través de una página web o bien un archivo, especialmente manipulados.

Las vulnerabilidades se han reportado en versiones Panasonic Network Camera View 3, 4 y Panasonic Network Camera Recorder anteriores a 4.04R03.
Se recomienda actualizar a versiones superiores.

Más información:

Panasonic Network Camera



Juan Sánchez