miércoles, 26 de febrero de 2014

Nuevos problemas en productos de Apple

Continúan los problemas, avisos y actualizaciones en torno a productos de Apple. Tras la última actualización importante para iOS, se acaban de publicar nuevas actualizaciones para Safari, OS X y QuickTime. Con todo aun hay un anuncio de un nuevo problema aun pendiente de solucionar.

Lsu navegador Safari (versión 6.1.2 y 7.0.2) que solventa cuatro vulnerabilidades de corrupción de memoria en WebKit, que podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario. Afecta a las versiones para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.1. Los CVE asociados son CVE-2013-6635, CVE-2014-1268, CVE-2014-1269 y CVE-2014-1270.
a primera de las actualizaciones de seguridad publicadas es para

Se recomienda actualizar a las versiones 6.1.1 o 7.0.1 de Safari para Mac OS X disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:

Por otra parte, Apple publica la actualización "OS X Mavericks 10.9.2 y Security Update 2014-001" destinada a corregir un total de 33 vulnerabilidades en su familia de sistemas operativos OS X (Lion, Mountain Lion y Mavericks). Entre los problemas corregidos se incluye la que analizamos en la "una-al-día" de ayer, en relación con el soporte SSL/TLS.

Se han solucionado vulnerabilidades en Apache, App Sandbox, ATS, Certificate Trust Policy, CFNetwork Cookies, CoreAnimation, CoreText, curl, Data Security, Date and Time, File Bookmark, Finder, ImageIO, IOSerialFamily, LaunchServices, NVIDIA Drivers, PHP, QuickLook, QuickTime y Secure Transport. También se ha actualizado la lista de certificados raíz, que puede visualizarse a través de la aplicación "Keychain Access".

La actualización está disponible a través de "Actualización de Software" en "Preferencias del Sistema" o desde el sitio web de descargas de Apple:

La última de las actualizaciones publicadas afecta a QuickTime, que se actualiza a la versión 7.7.5 para solucionar 10 problemas de seguridad en su versión para Windows 7, Vista y XP. Las vulnerabilidades están relacionadas con el tratamiento de imágenes o películas específicamente creadas y podrían permitir la ejecución remota de código arbitrario.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática de Apple, o descargándolas directamente desde:

¿Un "keylogger" para iPhone?

Además de estas actualizaciones, Apple aun tiene trabajo pendiente ya que se ha anunciado un nuevo problema pendiente de corrección.

Este fallo, reportado por técnicos de FireEye, afectaría a dispositivos iOS 7 y podría permitir la grabación de todas las presiones/toques del usuario, incluyendo toques de pantalla, del botón de inicio, de los botones de volumen y hasta del TouchID. Un "keylogger" en toda regla. Destacan la creación de una app capaz de "monitorizar" en segundo plano estos eventos en dispositivos iPhone 5s con la última versión de iOS 7 sin jailbreak y enviarlos a un servidor remoto. Además también afecta a versiones anteriores de iOS.

iOS 7 proporciona ajustes para "Actualización en segundo plano", desactivar el refresco innecesario de aplicaciones puede prevenir una potencial monitorización en segundo plano. Aunque también podría evitarse, por ejemplo una aplicación puede reproducir música en segundo plano sin necesidad de activar dicha opción. Por lo que un atacante podría crear una aplicación maliciosa disfrazada como aplicación musical para efectuar el registro de las pulsaciones. Por lo que la única forma de evitar este problema es mediante el cierre de las aplicaciones que se ejecutan en segundo plano.

FireEye ha confirmado que está colaborando con Apple para la corrección de este problema, por lo que podemos esperar otra actualización para iOS dentro de poco.

Más información:

Actualización de Apple para iOS 6 y 7

About the security content of Safari 6.1.2 and Safari 7.0.2

About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001

About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001

Background Monitoring on Non-Jailbroken iOS 7 Devices — and a Mitigation


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada