Dos de los productos más populares de Apple para los sistemas Windows se han visto afectados por sendas vulnerabilidades críticas, que han sido solucionadas con la publicación de dos nuevas versiones de ellos.
Aunque en muchos medios de comunicación se ha hecho más foco en las nuevas funcionalidades de estas versiones, no hay que olvidar que esta actualización del producto no debe ser opcional desde el punto de seguridad pues ambos fallos tienen una alta criticidad y hay suficiente información pública como para que se pueda realizar ingeniería inversa del producto y que aparezcan exploits activos en Internet.
Las vulnerabilidades han sido reconocidas por Apple tanto en QuickTime [KB-HT4290] como en ITunes [KB-HT4105]. De este último hay un advisory por parte de la empresa que la reportó explicando el funcionamiento y el vector de ataque: ACROS Security ITunes Advisory.
Si se está utilizando algún software de comprobación de actualizaciones de seguridad y vulnerabilidades de productos, como Secunia PSI, los usuarios también habrán recibido la alerta de seguridad
Actualización segura de los productos
Hay que recordar que actualmente, tanto ITunes como QuickTime, son productos de instalación completa, por lo que es necesario descargarse el producto completo, por lo que habrá que descargarse un programa instalador. Este proceso puede ser interceptado por un atacante mediante un ataque de hombre en medio "Man in the Middle" y hacer una sustitución del archivo por un troyano en lugar de la actualización de seguridad. Por ello, es conveniente comprobar el software antes de instalarlo.
Ambos programas de Apple vienen firmados digitalmente, por lo que se puede comprobar la firma que acompaña al programa de instalación antes de ejecutarlos. Basta con hacer clic con el botón derecho sobre el archivo instalador y en el menú contextual seleccionar la opción de Propiedades. Una vez allí en la pestaña Firmas Digitales se deberá ver que aparece la firma de Apple.
Entrando en el cuadro de diálogo Detalles se podrá ver quién ha firmado el archivo. Como se puede apreciar, tanto en esta imagen, como en los detalles del certificado, la firma la ha realizado Apple Inc. y el certificado de Apple ha sido emitido por Verisign.
Si el fichero no aparece firmado, o viene firmado con cualquier otro certificado digital, se recomienda no ejecutar la instalación de ningún modo y se recomienda descargar el fichero desde una red segura.
Aunque en muchos medios de comunicación se ha hecho más foco en las nuevas funcionalidades de estas versiones, no hay que olvidar que esta actualización del producto no debe ser opcional desde el punto de seguridad pues ambos fallos tienen una alta criticidad y hay suficiente información pública como para que se pueda realizar ingeniería inversa del producto y que aparezcan exploits activos en Internet.
Las vulnerabilidades han sido reconocidas por Apple tanto en QuickTime [KB-HT4290] como en ITunes [KB-HT4105]. De este último hay un advisory por parte de la empresa que la reportó explicando el funcionamiento y el vector de ataque: ACROS Security ITunes Advisory.
Si se está utilizando algún software de comprobación de actualizaciones de seguridad y vulnerabilidades de productos, como Secunia PSI, los usuarios también habrán recibido la alerta de seguridad
Actualización segura de los productos
Hay que recordar que actualmente, tanto ITunes como QuickTime, son productos de instalación completa, por lo que es necesario descargarse el producto completo, por lo que habrá que descargarse un programa instalador. Este proceso puede ser interceptado por un atacante mediante un ataque de hombre en medio "Man in the Middle" y hacer una sustitución del archivo por un troyano en lugar de la actualización de seguridad. Por ello, es conveniente comprobar el software antes de instalarlo.
Ambos programas de Apple vienen firmados digitalmente, por lo que se puede comprobar la firma que acompaña al programa de instalación antes de ejecutarlos. Basta con hacer clic con el botón derecho sobre el archivo instalador y en el menú contextual seleccionar la opción de Propiedades. Una vez allí en la pestaña Firmas Digitales se deberá ver que aparece la firma de Apple.
No hay comentarios:
Publicar un comentario