Menú principal

domingo, 16 de diciembre de 2012

Fue Noticia en Seguridad Apple: Del 3 al 16 de Diciembre

Y una vez más, fieles a nuestra cita de un domingo de cada dos semanas, llegamos al post de repaso que resume todo lo acontecido en este blog - y en algunos otros sitios - sobre la seguridad y las tecnologías Apple. En primer lugar, lo que hemos publicado.

El lunes 3 de Diciembre tuvimos noticia de OSX/Dockster.A, un backdoor para Mac OS X que se descubrió a través de Virus Total, pero del que no se sabía por dónde o cómo se estaba explotando. Sin embargo, a las pocas horas saltó la noticia de que estaba siendo distribuido a través de una web hackeada del Dalai Lama.

El martes un recordatorio para dejar actualizado tu software con las nuevas versiones de Apple iTunes 11, Apple Remote Desktop Client 3.6.2, Apple Remote Desktop Admin 3.6.1, Apple iClout Control Panel 2.1 para Windows, ThunderBolt Firmware Update 1.1 y LED Display Software Update 1.1. Fundamental tener el sistema siempre Up to date.

El 5 de Diciembre un curioso artículo sobre cómo, mirando el panel de desbloqueo con passcode de un terminal, es posible obtener información de lo complejo o no que es crackear el passcode de un terminal iOS. Un detalle curioso de seguridad publicado en la Black Hat Abu Dhabi 2011.

Para el jueves de la semana pasada publicamos una PoC curiosa con iPhone de cómo aprovecharse de la carga de imágenes en correos electrónicos de un terminal iOS para explotar una vulnerabilidad de CSRF (Cross-Site Request Forgery) en un router con una contraseña por defecto sin cambiar. Un curioso ejemplo de que la suma de pequeños fallos de seguridad puede explotarse de maner sorprendente uniendo todos ellos.

El viernes pasado apareció OS X Server v2.2 Update, con una buena cantidad de nuevas características, entre las que hay que destacar la posibilidad de implantarlo en una empresa para hacer caché de aplicaciones compradas por los clientes de la red en la Mac App Store o de integrarse con Active Directory en las políticas de seguridad de despliegue. Un paso claro de Apple en la dirección de las empresas.

El sábado 8 de Diciembre publicamos una revisión al fallo de Address Bar Spoofing de Safari en iOS 5.1 que había sido arreglado en iOS 5.1.1, pero que en iOS 6 tiene un comportamiento bastante peculiar, al dejar la barra de navegación en blanco. Un comportamiento de Address Bar Clearing, que no pensamos que sea lo más adecuado cuando se quiere evitar engaños a los usuarios menos conocedores de los riesgos de seguridad.

El domingo de la semana pasada nos paramos en la noticia de la contratación de Kris Paget por parte de Apple, algo que para muchos fue la contratación del "salvador" de Windows, y que nos apetecía aclarar de forma sensata en un artículo, ya que el título de salvador nos parece demasiado grande para un solo hombre.

Este lunes aprovechamos para dejaros una conferencia de Kris Paget sobre seguridad GSM y hablaros de las formaciones posibles en tecnologías móviles, que van desde la compra de los libros de Hacking de comunicaciones móviles o Desarrollo de aplicaciones iOS para iPhone & iPad, a la asistencia a las formaciones que comienzan mañana de Desarrollo de aplicaciones Android o el curso online de Análisis Forense de Dispositivos móviles.


Este martes la noticia fue para los maps de Apple en iOS, que junto con el regreso de Google Maps para iOS, hubo que hablar de una ruta en Australia que estaba enviando a los viajeros a una carretera cortada a 70 kilómetros del destino en mitad del desierto. Algo que llevó a la Policía a advertir a los viajeros de no usar iPhone para guiarse por allí y de reportarlo a Apple para subsanarlo.

El miércoles apareció SMSSend.3666 la primera rogue application para Mac OS X que, bajo el aspecto de ser una aplicación para escuchar música de una red social, estafaba a usuarios engañándoles para darse de alta en un servio de pago mensual por el envío de contenidos por SMS.

Ese mismo día salió otra ruta en los maps de iOS, también en Australia, que podría convertirse en una trampa mortal, ya que envia a los viajeros en mitad del desierto cuando van a la ciudad de Mountain Isa.

El jueves hicimos otra parada para actualizar software y tener los equipos al día. En este caso las actualizaciones fueron para Mac mini EFI firmware Update 1.7, Epson Printer Drivers v2.28 for OS X, Lexmark Printer Drivers v3.0 for OSX y Apple iWork 9.3 A actualizar.

Este viernes Apple actualizó XProtect para detectar a SMSSend.3666 en las descargas de Internet, pero os recordamos que XProtect no es un antimalware profesional, aunque este movimiento de Apple sea de agradecer.

Por último, ayer sábado, quisimos echar un ojo atrás en la historia del malware en Mac OS X para hablar de AppleScript.THT, un troyano escrito en AppleScript que se distribuyó a través de una vulnerabilidad de Apple Remote Desktop en el año 2008.

Hasta aquí todo lo que hemos publicado en Seguridad Apple, pero también queremos destacar otras noticias que no hemos podido tratar, pero que nos parecen muy interesantes para que estéis al día en ellas.
- SmartPhones para tratar enfermedades: En el blog de ThinkBig se publica un interesante artículo sobre cómo el uso de los dispositivos móviles puede ayudar en la medicina moderna. 
- Actualización de Adobe Flash Player: Si tienes Adobe Flash Player en tu Mac OS X es hora de que actualices a la última versión, publicada en el advisory APSB12-27 de Adobe que corrige tres CVE de nivel crítico. 
- Los estudiantes que tienen iPhone no son trabajadores: Esa es la frase que el entrevistador le dijo a un estudiante en China que fue rechazado por tener un iPhone. Según el entrevistador, los estudiantes que tienen un iPhone es porque se lo han regalado sus padres y no saben lo que es sacrificarse en el trabajo. 
- ¿Sustituirá la Soft-SIM a la SIM física? Son varios los intentos de sustituir las SIM físicas por SIM basadas en software, pero los riesgos de seguridad están todavía por solucionar. En este artículo algunas reflexiones sobre ellos.
Y hasta aquí ha llegado el resumen, esperamos veros aquí dentro de dos semanas y cada día en Seguridad Apple.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares