Continúan
los problemas, avisos y actualizaciones en torno a productos de Apple. Tras la
última actualización importante para iOS, se acaban de publicar nuevas actualizaciones para Safari, OS X y QuickTime.
Con todo aun hay un anuncio de un nuevo
problema aun pendiente de solucionar.
Lsu
navegador Safari (versión 6.1.2 y 7.0.2) que solventa cuatro vulnerabilidades de corrupción de memoria en WebKit, que
podrían ser aprovechadas por un atacante remoto para provocar condiciones de
denegación de servicio o ejecutar código arbitrario. Afecta a las versiones
para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y
OS X Mavericks v10.9.1. Los CVE asociados son CVE-2013-6635, CVE-2014-1268, CVE-2014-1269
y CVE-2014-1270.
Se recomienda actualizar a las
versiones 6.1.1 o 7.0.1 de Safari para Mac OS X disponible a través de las
actualizaciones automáticas de Apple, o para su descarga manual desde:
Por otra parte, Apple publica la actualización "OS X Mavericks 10.9.2 y Security Update
2014-001" destinada a corregir un total de 33 vulnerabilidades en su familia de sistemas operativos OS X (Lion,
Mountain Lion y Mavericks). Entre los problemas corregidos se incluye la
que analizamos en la "una-al-día"
de ayer, en relación con el soporte SSL/TLS.
Se han solucionado vulnerabilidades
en Apache, App Sandbox, ATS, Certificate Trust Policy, CFNetwork Cookies,
CoreAnimation, CoreText, curl, Data Security, Date and Time, File Bookmark,
Finder, ImageIO, IOSerialFamily, LaunchServices, NVIDIA Drivers, PHP,
QuickLook, QuickTime y Secure Transport. También se ha actualizado la lista de
certificados raíz, que puede visualizarse a través de la aplicación "Keychain Access".
La actualización está disponible
a través de "Actualización de
Software" en "Preferencias
del Sistema" o desde el sitio web de descargas de Apple:
La última de las actualizaciones
publicadas afecta a QuickTime, que se actualiza a la versión
7.7.5 para solucionar 10 problemas
de seguridad en su versión para Windows 7, Vista y XP. Las vulnerabilidades
están relacionadas con el tratamiento de imágenes o películas específicamente
creadas y podrían permitir la ejecución remota de código arbitrario.
Esta nueva versión puede
instalarse a través de las funcionalidades de actualización automática de
Apple, o descargándolas directamente desde:
¿Un "keylogger" para iPhone?
Además de estas actualizaciones, Apple
aun tiene trabajo pendiente ya que se ha anunciado un nuevo problema pendiente de corrección.
Este fallo, reportado
por técnicos de FireEye, afectaría a dispositivos iOS 7 y podría permitir la
grabación de todas las presiones/toques del usuario, incluyendo toques de
pantalla, del botón de inicio, de los botones de volumen y hasta del TouchID. Un "keylogger" en toda regla. Destacan la creación de una app capaz
de "monitorizar" en segundo
plano estos eventos en dispositivos iPhone 5s con la última versión de iOS 7 sin
jailbreak y enviarlos a un servidor remoto. Además también afecta a versiones anteriores
de iOS.
iOS 7 proporciona ajustes para "Actualización en segundo plano",
desactivar el refresco innecesario de aplicaciones puede prevenir una potencial
monitorización en segundo plano. Aunque también podría evitarse, por ejemplo
una aplicación puede reproducir música en segundo plano sin necesidad de activar dicha
opción. Por lo que un atacante podría crear una aplicación maliciosa disfrazada
como aplicación musical para efectuar el registro de las pulsaciones. Por lo
que la única forma de evitar este problema es mediante el cierre de las
aplicaciones que se ejecutan en segundo plano.
FireEye ha confirmado que está
colaborando con Apple para la corrección de este problema, por lo que podemos
esperar otra actualización para iOS dentro de poco.
Más información:
Actualización de Apple para iOS 6
y 7
About the security content of Safari 6.1.2 and
Safari 7.0.2
About the security content of OS X Mavericks
v10.9.2 and Security Update 2014-001
About the security content of OS X Mavericks
v10.9.2 and Security Update 2014-001
Background Monitoring on Non-Jailbroken iOS 7
Devices — and a Mitigation
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario