27 de febrero de 2014

APPLE. Nuevos problemas en productos de la firma

Continúan los problemas, avisos y actualizaciones en torno a productos de Apple. Tras la última actualización importante para iOS, se acaban de publicar nuevas actualizaciones para Safari, OS X y QuickTime. Con todo aun hay un anuncio de un nuevo problema aun pendiente de solucionar.
Detalle y Recomendaciones
  • La primera de las actualizaciones de seguridad publicadas es para su navegador Safari (versión 6.1.2 y 7.0.2) que solventa cuatro vulnerabilidades de corrupción de memoria en WebKit, que podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario. Afecta a las versiones para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.1. Los CVE asociados son CVE-2013-6635, CVE-2014-1268, CVE-2014-1269 y CVE-2014-1270.
  •   Se recomienda actualizar a versiones 6.1.1 o 7.0.1 de Safari para Mac OS X disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde, http://support.apple.com/downloads/#safari
  •  Por otra parte, Apple publica la actualización "OS X Mavericks 10.9.2 y Security Update 2014-001" destinada a corregir un total de 33 vulnerabilidades en su familia de sistemas operativos OS X (Lion, Mountain Lion y Mavericks). Entre los problemas corregidos se incluye la analizada por "una-al-día" de ayer, en relación con el soporte SSL/TLS.
  •  Se han solucionado vulnerabilidades en Apache, App Sandbox, ATS, Certificate Trust Policy, CFNetwork Cookies, CoreAnimation, CoreText, curl, Data Security, Date and Time, File Bookmark, Finder, ImageIO, IOSerialFamily, LaunchServices, NVIDIA Drivers, PHP, QuickLook, QuickTime y Secure Transport. También se ha actualizado la lista de certificados raíz, que puede visualizarse a través de la aplicación "Keychain Access".
  •  La última de las actualizaciones publicadas afecta a QuickTime, que se actualiza a la versión 7.7.5 para solucionar 10 problemas de seguridad en su versión para Windows 7, Vista y XP. Las vulnerabilidades están relacionadas con el tratamiento de imágenes o películas específicamente creadas y podrían permitir la ejecución remota de código arbitrario.
¿Un "keylogger" para iPhone?
  •  Además de estas actualizaciones, Apple aún tiene trabajo pendiente ya que se ha anunciado un nuevo problema pendiente de corrección.
  •  Este fallo, reportado por técnicos de FireEye, afectaría a dispositivos iOS 7 y podría permitir la grabación de todas las presiones/toques del usuario, incluyendo toques de pantalla, del botón de inicio, de los botones de volumen y hasta del TouchID. Un "keylogger" en toda regla. Destacan la creación de una app capaz de "monitorizar" en segundo plano estos eventos en dispositivos iPhone 5s con la última versión de iOS 7 sin jailbreak y enviarlos a un servidor remoto. Además también afecta a versiones anteriores de iOS.
  •  iOS 7 proporciona ajustes para "Actualización en segundo plano", desactivar el refresco innecesario de aplicaciones puede prevenir una potencial monitorización en segundo plano. Aunque también podría evitarse, por ejemplo una aplicación puede reproducir música en segundo plano sin necesidad de activar dicha opción. Por lo que un atacante podría crear una aplicación maliciosa disfrazada como aplicación musical para efectuar el registro de las pulsaciones. Por lo que la única forma de evitar este problema es mediante el cierre de las aplicaciones que se ejecutan en segundo plano.
  •  FireEye ha confirmado que está colaborando con Apple para la corrección de este problema, por lo que podemos esperar otra actualización para iOS dentro de poco.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas: , , , ,