miércoles, 1 de julio de 2015

Actualización de múltiples productos Apple: iOS, OS X, Safari, QuickTime y Mac EFI

Como ya es habitual, Apple ha publicado de forma simultánea actualizaciones para múltiples productos. En esta ocasión incluye iOS 8.4 para sus dispositivos móviles (iPhone, iPad, iPod… ), OS X Yosemite 10.10.4 y Security Update 2015-004, Safari y QuickTime.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

iOS 8.4 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir un buen número de novedades (como el servicio Apple Music) y mejoras en iBooks y solución de problemas, además soluciona 33 nuevas vulnerabilidades. Los problemas corregidos están relacionados con la tienda de aplicaciones, CFNetwork HTTPAuthentication, CoreGraphics, CoreText, coreTLS, DiskImages, FontParser, ImageIO, Kernel, Mail, MobileInstallation, Safari, Security, SQLite, Telephony, WebKit y WiFi Connectivity.

Por otra parte, se ha publicado OS X Yosemite v10.10.4 y Security Update 2015-005 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.2, destinado a corregir 77 nuevas vulnerabilidades. Afectan a los componentes: Admin Framework, afpserver, apache, AppleGraphicsControl, AppleFSCompression, AppleThunderboltEDMService, ATS, Bluetooth, Certificate Trust Policy, CFNetwork HTTPAuthentication, CoreText, coreTLS, DiskImages, Display Drivers, EFI, FontParser, Graphics Driver, Intel Graphics Driver, ImageIO, Install Framework Legacy, IOAcceleratorFamily, IOFireWireFamily, Kernel, kext tools, Mail, ntfs, ntp, OpenSSL, QuickTime, Security, Spotlight, SQLite, System Stats, TrueTypeScaler y zip.

Hay que señalar que 20 de las vulnerabilidades corregidas son comunes entre iOS y OS X, con algunas ya conocidas como logjam (de la que ya hablamos en una-al-día) que reside en una vulnerabilidad (con CVE-2015-4000) en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de "hombre en el medio" degradar la seguridad de las conexiones TLS a 512 bits. También se ha mejorado el tratamiento de la cadena de certificados para evitar problemas como el generado por el certificado del CNNIC. También cabe señalar que ambas actualizaciones incluyen vulnerabilidades detectadas el 2013 y el 2014.

Las actualizaciones también incluyen a Safari, el popular navegador web de Apple, que se actualiza a las versiones Safari 8.0.7, Safari 7.1.7 y Safari 6.2.7 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3. Se solucionan cuatro vulnerabilidades, por problemas en WebKit (y en WebKit Page Loading, WebKit PDF y WebKit Storage), el motor de navegador de código abierto que es la base de Safari. La actualización a Safari 8.0.7 está incluida en OS X Yosemite v10.10.4.

De igual forma, también ha publicado la versión QuickTime 7.7.7, que solventa nueve vulnerabilidades de seguridad en su versión para Windows 7 y Vista. Las vulnerabilidades están relacionadas con problemas de corrupción de memoria en QT Media Foundation que podrían permitir la ejecución remota de código arbitrario (CVE-2015-3661 al CVE-2015-3669).

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/

Por último, Apple ha publicado la actualización "Mac EFI Security Update 2015-001" que viene a solucionar dos vulnerabilidades en EFI (Extensible Firmware Interface) el software de arranque del sistema (como la BIOS para el PC), que podía permitir la modificación del firmware EFI cuando el sistema salía del modo suspensión (CVE-2015-3692 y CVE-2015-3693).

Más información:

About the security content of iOS 8.4
https://support.apple.com/es-es/HT204941

About the security content of OS X Yosemite v10.10.4 and Security Update 2015-005
https://support.apple.com/es-es/HT204942

About the security content of Safari 8.0.7, Safari 7.1.7, and Safari 6.2.7
https://support.apple.com/es-es/HT204950

una-al-dia (25/03/2015) Certificados fraudulentos, suma y sigue
http://unaaldia.hispasec.com/2015/03/certificados-fraudulentos-suma-y-sigue.html

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes
http://unaaldia.hispasec.com/2015/05/logjam-el-hacedor-de-llaves-en-el-reino.html

About the security content of QuickTime 7.7.7
https://support.apple.com/es-es/HT204947

About the security content of Mac EFI Security Update 2015-001
https://support.apple.com/es-es/HT204934


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero



Etiquetas: , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017