Menú principal

miércoles, 26 de febrero de 2014

Actualiza OSX, Safari y la TV para cerrar el bug del goto fail

Después del enorme FAIL de Apple con su goto fail duplicado la compañía ha lanzado una nueva actualización de OS X Mavericks, en este caso la versión 10.9.2. Esta nueva actualización trae en total la resolución de 29 fallos de seguridad, por lo que se hace una más que imprescindible en este caso. Además, Apple ha lanzando también el Security Update 2014-001 para actualizar los sistemas operativos Mac OS X Lion - también para la versión Lion Server - y la versión de Security Update 2014-001 para OS X Mountain Lion, con los que se resuelven algunos problemas más. 

En estas nuevas actualizaciones vienen incluidas las nuevas versiones de Apple Safari 7.0.2 y Apple Safari 6.1.2, con soluciones de bugs de seguridad. Existían vulnerabilidades graves que han sido resueltas en ellos. A continuación se muestra un listado de algunas de ellas:
  • Múltiples vulnerabilidades en Apache las cuales permitían realizar un XSS. CVE-2013-1862 y CVE-2013-1896.
  • La Sandbox disponible en OS X Mountain Lion 10.8.5 puede ser bypasseada, por lo que el peligro es considerada.
  • ATS dispone de varios fallos de seguridad los cuales se pueden enumerar por los siguientes CVEs: CVE-2014-1254, CVE-2014-1262, CVE-2013-5179, CVE-2014-1255. 
  • Vulnerabilidades en CoreText y CoreAnimation las cuales permiten la ejecución de código arbitrario tras la ejecución de un archivo malicioso. CVE-2014-1257 y CVE-2014-1258.
  • Vulnerabilidades en Safari para crear unas cookies persistentes, incluso después de resetear Safari. 
  • Múltiples vulnerabilidades en PHP, en el Finder, LaunchServices, ImageIO, File Bookmark, etcétera. 
La vulnerabilidad de SSL ha dado y dará mucho más que hablar, ya que no solo ha sido enorme, sino que ha hecho pensar que lo que dijo Jacobb Applebaum sobre el espionaje de la NSA en terminales iPhone pudiera haberse realizado mediante la introducción de esa línea de código de manera intencionada.

Figura 1: Programa de la NSA para espiar iPhone

En la lista de servicios afectados estaban muchos de los clave en Apple con iMessage, FaceTime, etcétera, lo que llevó al investigador Steffan Esser a sacar un parche de emergencia no oficial para el bug y a Apple a arreglar todo su software base, incluida también en la lista Apple TV 6.0.2 - también vulnerable al bug de SSL -.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares