domingo, 28 de septiembre de 2014

Apple publica iOS 8.0.2 para solucionar diversos problemas

Apenas días después del lanzamiento de iOS 8, Apple publica una nueva versión de su sistema operativo para dispositivos móviles. Esta versión está destinada a corregir los primeros problemas encontrados en la versión recién publicada.

A los pocos días de publicar iOS 8, Apple lanzó la actualización 8.0.1 destinada a corregir los primeros problemas encontrados en iOS 8, sin embargo en esta ocasión el remedio fue peor que la enfermedad. Los usuarios con iPhone 6 (e iPhone 6 Plus) vieron como sus dispositivos experimentaban fallos de cobertura, problemas con el TouchID y otras incidencias. Lo que obligó a Apple a retirar la actualización apenas transcurridas unas horas desde su publicación, e incluso recomendar a los usuarios volver a iOS 8.

Tras los problemas iniciales Apple publica iOS 8.0.2, que más que fallos de seguridad está destinada a solucionar cuestiones relacionadas con la usabilidad y funcionalidad de los dispositivos. Se solucionan los errores de conectividad y con el Touch ID en iPhone 6 e iPhone 6 Plus que dieron lugar a la retirada de iOS 8.0.1. Apple no ha detallado si la actualización referente al Touch ID es para mejorar su seguridad, en relación a los avisos que confirmaban que su funcionalidad había sido vulnerada. También corrige un fallo por el que las aplicaciones HealthKit están disponibles en la App Store. Se soluciona un problema de usabilidad en los teclados de terceras partes. 

También se ha corregido un error que impedía que diversas aplicaciones pudieran acceder a las fotos desde la Librería de Fotos. Otro problema solucionado hacía relación a un aumento del uso de datos al recibir mensajes SMS/MMS. Y por último, otros fallos corregidos hacen relación a la restauración de tonos de llamada desde copias iCloud y a la subida de fotos y vídeos desde Safari. 

Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

iOS 8.0.2

una-al-dia (19/09/2014) Actualización masiva de productos Apple: iOS, OS X, Safari...

una-al-dia (24/09/2014) El lector de huellas del iPhone 6 sigue siendo vulnerable




Antonio Ropero
Twitter: @aropero


sábado, 27 de septiembre de 2014

Vulnerabilidad en librerías NSS permite la falsificación de certificados en diversas aplicaciones

Se ha anunciado una vulnerabilidad en las librerías NSS (Network Security Services o Servicios de Seguridad de Red) de Mozilla que podría permitir a un atacante remoto la falsificación de certificados en aplicaciones que hagan uso de estas librerías.

Los Servicios de Seguridad de Red  (Network Security Services (NSS)) son un conjunto de librerías diseñadas para ayudar a la incorporación de protocolos de seguridad en el desarrollo de aplicaciones para servidor y cliente en múltiples plataformas. Las aplicaciones desarrolladas con NSS pueden admitir SSL v2 y v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, certificados X.509 v3, y otros estándares de seguridad.

El problema, con CVE-2014-1568, reside en que la librería no trata adecuadamente valores ASN.1 en una firma digital. Un usuario podría construir un ataque de falsificación de firma contra el algoritmo RSA (una variante de uno publicado anteriormente por Daniel Bleichenbacher), con lo que podría crear un certificado falsificado.

Mozilla y Google han confirmado la vulnerabilidad en los productos Firefox, Thunderbird, SeaMonkey, NSS y Google Chrome, y han publicado versiones actualizadas de todos ellos.
Se han publicado las versiones Firefox 32.0.3, Firefox ESR 24.8.1, Firefox ESR 31.1.1, Thunderbird 31.1.2, Thunderbird 24.8.1, SeaMonkey 2.29.1, NSS 3.16.2.1, NSS 3.16.5, NSS 3.17.1 y Google Chrome 37.0.2062.124 para Windows y Mac.

Todos los proyectos que hagan uso de NSS 3.17 deben actualizar a la nueva versión 3.17.1.

Más información:

RSA Signature Forgery in NSS

Stable Channel Update


Antonio Ropero

Twitter: @aropero