Menú principal

domingo, 16 de agosto de 2015

Fue Noticia en Seguridad Apple: Del 4 al 16 de Agosto

Una vez más, vamos con el repaso bi-semanal que hacemos en Seguridad Apple sobre todo lo que hemos publicado en este blog, además de algunos artículos publicados en otros medios que pueden ser de tu interés. Este el resumen que os hemos preparado con todo esto y que os traemos hoy 16 de Agosto de 2015.

Comenzamos el lunes 4 de Agosto con la configuración un poco paranoica de tu iPhone. Con una confinación de fortificación de funciones con la pantalla bloqueada, Touch ID y el modo No Molestar, puedes tener un terminal iPhone listo para que solo lo puedas utilizar tú.

El martes de esa semana le dedicamos la entrada a Thunderstrike 2, un malware para equipos Mac de Apple que infecta el firmware de los equipos con un simple programa con ejecución a nivel de usuario y que se puede propagar a través de los dispositivos periféricos conectados a él. Cuidado.

El día siguiente vimos como empezaba a explotarse en campañas de malware el bug de DYLD_PRINT_TO_FILE que permite la elevación de privilegios como root a cualquier programa. Dicho bug no sería corregido hasta la llegada de las actualizaciones el viernes 14 de Agosto.

Lock Saver Free de Cydia
El jueves 7 de Agosto tocó hablar de Lock Saver Free, un tweak de Cydia que apareció con adware agresivo. El debate se abrió una vez más entre los creadores de tweaks a favor del jailbreak, y los que se encuentran a favor de no romper el Code-Signing de Apple.

El día siguiente hablamos de cómo funcionaba la herramienta TAIG para OS X que permite hacer Jailbreak a dispositivos con iOS 8.3 e iOS 8.4. La versión de la herramienta estaba disponible antes solo para Windows.

El sábado hablamos de OS X 10.10.5 en beta, donde se podía ver que Apple había decidido parchear el bug de DYLD_PRINT_TO_FILE. Eso sí, habría que esperar aún una semana más para que se liberara la versión final de esta versión.

El domingo pasado le dedicamos la entrada a celebrar que este blog, Seguridad Apple, cumplía 5 años. Cinco años de vida con un trabajo diario para intentar aportaros algo de ayuda en vuestro paseo por la red. Gracias por estar ahí.

Ya esta semana, el lunes, la entrada se la dedicamos a un detalle de Bad@ss, el malware para Mac OS X en la pasada BlackHat. En este caso a cómo esta prueba de concepto era capaz de saltarse una herramienta de seguridad como BlockBlock en OS X de forma sencilla.

Al día siguiente, hicimos un recorrido más largo de todas las capacidades de Bad@ss malware, para que todo el mundo pudiera conocer los detalles de esta prueba de concepto de altísima calidad para realizar malware en OS X.

Bug en Keychain de OSX para DoS
El miércoles la entrada fue para el nuevo paquete de actualizaciones de Adobe, con 35 bugs de seguridad arreglados en sus productos. Adobe no consigue frenar la escalada de fallos de seguridad que le están llevando a desaparecer de Internet y ser sustituido por HTML 5 en las principales webs.

El 13 de Agosto hablamos de un bug en el KeyChain de OS X que puede producir una denegación de servicio en el equipo si es explotado. Este bug inutiliza que el usuario pueda hacer uso de las credenciales guardadas en él.

El viernes tocó hablar de las actualizaciones de Apple, primero de iOS 8.4.1 que además de solucionar más de 70 fallos de seguridad se encargaba de cerrar los bugs explotados para hacer jailbreak, por lo que a día de hoy no es posible liberar los terminales con iOS 8.4.1.

Al mismo tiempo, Apple ponía en circulación actualizaciones para OS X 10.10.5, los Security Update 2015-006 para la versiones anteriores de OS X, nuevas versiones de Apple Safari 8.0.8, Apple Safari 7.1.8 y Apple Safari 6.2.8, además de actualizar XServer a la versión 4.5.1.

Para acabar este resumen, ayer sábado le dedicamos la entrada a repasar cómo el equipo de creación de software de espionaje Hacking Team, tenía versiones falsas de las principales apps de iOS para realizar el ataque Masque e infectar los terminales iPhone e iPad de sus víctimas.

Y esto ha sido todo lo que hemos publicado, pero como siempre, os dejamos una lista de blogs y noticias en otros medios que creemos que pueden ser de vuestro interés. Estas son las que hemos seleccionado esta vez para todos vosotros.
- A fondo algunas funciones avanzadas de la API de Latch: El servicio de Latch no para de crecer, y día a día se van incorporando nuevas funcionalidades. En este ejemplo os enseñamos como se puede crear operaciones de forma dinámica mediante la API y como crear credenciales para una API de usuario. 
- Anuncio de Apple Lisa de 1983: "En el futuro habrá dos tipos de personas, aquellos que usan computadores y esos que usan Apple". Como ha cambiado la informática en estos 32 años 

Anuncio de Apple Lisa de 1983
- Seguir el rastro a los adwares por sus API Keys: Explicación de cómo utilizando las capacidades de búsqueda de Tacyt, es posible seguir el rastro a las cuentas de los adwares en el mundo Android. En este caso, correlando los valores que utilizan en sus API Keys. 
- GCat, un backdoor escrito en Python que usa Gmail como C&C: En Hackplayers siempre nos traen herramientas y cosas frescas. En esta ocasión un trabajo que permite controlar un bot en una máquina infectada escribiendo mensajes a una dirección de correo en Gmail. 
- Apple soportará Windows 10 en la nueva versión de BootCamp: Con el lanzamiento final de Windows 10 se espera que muchos migren a él, incluidos los usuarios que utilizan Apple BootCamp, así que Apple ya está preparado para ello. 
- Todos los papers del USENIX 24th: Ha tenido lugar esta semana en Whashington D.C. y el material ha sido publicado. Nuestros compañeros de Cyberhades nos lo han recogido. 
- Descubrir y escanear dispositivos IoT con un drone: Las tecnologías de IoT pueden ser muy diversas en cuanto a sus protocolos y arquitecturas. Unos de los protocolos utilizados en redes de sensores es ZigBee, con este drone se pueden escanear los dispositivos y descubrir sus estados. 
- El señor de las clases: Un bug en Android permite a una aplicación atacar la sandbox de otra y sustituirla por una maliciosa.
Y esto fue todo. Esperamos que tengáis un buen domingo de Agosto y que nos volvamos a ver dentro de dos semanas en esta misma sección y cada día en los artículos que publicamos con dedicación hacia vosotros en Seguridad Apple.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares