Menú principal

viernes, 25 de abril de 2014

Security Update 2014-002 para OS X

Al mismo tiempo que Apple publicó la actualización de iOS 7.1.1 y Apple TV 6.1.1, la compañía puso en circulación un Security Update para solucionar 13 CVEs de seguridad en los sistemas operativos a los que aún da soporte, es decir, Lion, Mountain Lion, y Mavericks.

Figura 1: Actualizaciones de Seguridad para Security Update 2014-002 disponibles

La lista de los 13 bugs de seguridad resueltos se puede ver en el Security Advisory publicado en la web de soporte y las descargas están disponibles en las siguientes URLs, además de a través de Software Updates y Mac App Store:
- Security Update 2014-002 para OS X Mavericks
- Security Update 2014-002 para OS X Mountain Lion
- Security Update 2014-002 para OS X Lion
- Security Update 2014-002 para OS X Lion (Server)
Esta actualización de seguridad, por desgracia y mala suerte para todos no soluciona los 16 CVEs de Webkit que fueron puestos en conocimiento de todo el público en el Security Advisory de iOS 7.1.1, y deja hasta el martes que viene que se supone que es la fecha elegida para el lanzamiento de la nueva versión de OS X Mavericks 10.9.3 y de la nueva revisión de Apple Safari, algo que por supuesto no ha gustado a ningún responsable de sistemas. De momento, lo único que se puede hacer es - o utilizar otro navegador - o esperar pacientemente a que Apple ponga los parches a disposición pública el martes que viene, antes de que nadie utilice los bugs para explotarlos en su provecho.

jueves, 24 de abril de 2014

Nuevo firmware para AirPort Base Station por HeartBleed

El bug de seguridad que tambaleó la seguridad en Internet, conocido como Heartbleed aún no ha muerto, y es que aunque la mayoría de las miradas se centraron en las aplicaciones web y el protocolo HTTPS es cierto que existe una gran cantidad de protocolos que hacen uso de OpenSSL por debajo Por esta razón si la versión de OpenSSL que utiliza dicho protocolo es vulnerable tenemos el mismo problema de seguridad que con el ya archiconocido ataque de HeartBleed a servidores web que nosotros hemos automatizado en Faast. Ante estos problemas conocidos Apple ha decidido liberar una actualización de seguridad para el firmware de los modelos AirPort Extreme y Time Capsule

La actualización proporciona el firmware con versión 7.7.3 y es sólo para las estaciones base AirPort Extreme y Time Capsule con 802.11ac, como se comentaba anteriormente. Además, la actualización es lanzada para las versiones de estos dispositivos comprados desde Junio de 2013

Figura 1: Security Advisory para AirPort Base Station Firmware Update 7.7.3

Apple ha querido comentar al respecto de la actualización lo siguiente:
"La actualización del firmware ofrece una solución para la reciente vulnerabilidad de OpenSSL para la última generación de estaciones base, tanto AirPort Extreme y AirPort Time Capsule. Esta vulnerabilidad sólo afecta a dispositivos recientes (Junio 2013 en adelante). Los clientes con la generación anterior de los distintos modelos de AirPort no necesitan actualizar sus estaciones base."
La vulnerabilidad no filtraría contraseñas, como ocurre en otros ámbitos de explotación de heartbleed, por ejemplo en un servidor web. Sin embargo, la vulnerabilidad permitiría a un atacante realizar un man in the middle entre un usuario y un router y poder acceder a las pantallas de sesión de un router o un equipo. Sin embargo, a diferencia, como se mencionó anteriormente, los Apple ID y otras contraseñas no serían filtrados o extraídos. Se recomienda que si se está utilizando un modelo de AirPort nuevo (Junio 2013) y se tiene activo Back My Mac actualices inmendiatamente. Los modelos más antiguos no se ven afectados.
Artículos relacionados

Otras historias relacionadas

Entradas populares