Como cada dos domingos hacemos parada y resumen de lo que hemos publicado en Seguridad Apple, y de los artículos de interés que han salido en otros medios. Esperamos que con la lectura de este post nada se os quede en el tintero. Vamos con ello.
El primero de los artículos es una conferencia de Pablo González, escritor del libro Metasploit para Pentesters, en el que explica cómo sacarle partido a esta herramienta. Un conferencia muy didáctica en la universidad de algo más de media hora con muchas demos y buenas explicaciones que ayuda a aprender Metasploit.
El martes 26 de Febrero analizamos el fallo que supuestamente había salido para iOS que permitía acceder a los ficheros sin cifrar, pero no era verdad, se trataba de un prueba mal configurada.
El miércoles de esa semana también intentamos averiguar qué había mejorado en seguridad Apple iTunes 11.0.2, pero como siempre la información publicada por Apple en esta materia es más bien escasa, así que nos limitamos a intentar elucubrar.
Para terminar el mes de Febrero os trajimos un artículo de cómo es el tipo de solución existente para troyanizar y espiar usuarios con terminales iPhone, y cómo un analista forense puede detectarlo fácilmente con soluciones profesionales como Oxygen Forensics.
El día 1 de Marzo la noticia para nosotros fue la decisión del Departamento de Defensa Americano (DoD) de abrazar el BYOD y permitir que sus empleados comiencen a trabajar con terminales smartphone propios.
El sábado 2 de Marzo una alerta para los usuarios de OSX, ya que por un lado Adobe había sacado una actualización crítica de Adobe Flash Player, y por otro nuevos exploits 0day de la última versión de Java estaban siendo explotados vía web, con lo que había que deshabilitar Java en el navegador hasta que hubiera una solución.
El domingo nos paramos a echar un vistazo a Dia - Diagram Editor, una solución libre tipo Visio que permite hacer diagramas de red y seguridad en tu OS X con muy buena experiencia de uso y resultados. Merece que la tengas instalada.
En el comienzo de esta semana que ya termina la noticia fue para MineCraft Hack Kit, un malware basado en un Applet Java que simulando ser una herramienta para cheaters, roba las contraseñas de los jugadores de MineCraft.
Este martes nos paramos inicialmente a echar un vistazo a Fill Disk, la vulnerabilidad en HTML5 descubierta en Apple Safari, Google Chrome, Opera y Microsoft Internet Explorer que permite llenar el disco duro con solo visitar una página web, por un fallo en la implementación de los límites de LocalStorage.
También ese día tocó actualizar de urgencia Java en la plataforma Mac con Java for OS X 2013-002 y Java for Mac OS X v10.6 Update 17, que arreglaban dos bugs críticos que están siendo explotados activamente en Internet.
Para el 6 de Marzo nos fuimos a recordar la historia del malware en Mac OS X, en este caso con OSX/RSPlug, un software malicioso de 2007 que hacía pharming en equipos infectados utilizando el "vtruco" de ofrecer pornografía a cambio de instalar un codec.
Al día siguiente, y continuando con la cadena de noticias sobre OS X y Java, Apple decidió bloquear los Plugins Web de Java antiguos, es decir, que no se hubieran actualizado a las penúltimas versiones como poco, es decir, todos los que no estuvieran actualizados de hace menos de 2 semanas. Esto obliga a los administradores de sistemas de red a apretar sus procesos de actualización en las grandes compañías.
Ya el viernes, un bug que está afectando a OS X y que permite que cualquier usuario sea root en el sistema por medio de un bug crítico de seguridad en sudo, el CVE-2013-1775. Esperemos que Apple lo actualice cuanto antes en OS X Mountain Lion 10.8.3, que ya se van acumulando cosas por actualizar.
Por último, ayer tuvimos otra variante de malware para OSX/Sabpab, un backdoor que se está utilizando en ataques dirigidos, y que por lo visto sigue evolucionándose, ya que ha aparecido en Virus Total.
Hasta aquí todo lo que publicamos nosotros, pero ha habido muchas más noticias interesantes durante estas dos semanas que pasamos a recomendaros para que estéis bien informados.
- Tendencias en dispositivos móviles en 2013: En Blog Think Big hablan de lo que pasará este año, y en lo siguientes, donde se pronostica que Android seguirá siendo el sistema operativo móvil más usado, seguido por Apple iOS que seguirá subiendo este año en cuota para empezar a decaer en los siguientes.
- Richard Stallman ya criticó en 1984 el Apple Macintosh: Nuestros amigos de Cyberhades, escritores del fantastico libro de "Microhistorias: Anécdotas y curiosidades de la historia de la informática", nos traen un momento muy significativo: Richard Stallman criticando el Apple Macintosh en el año 1984. Digno de ver.
- Obteniendo cuentas de WhatsApp y Line como churros: Por medio de una contribución en Security By Default nos traen un ejemplo de cómo saltarse los mecanismos de verificación de nueva cuenta para crearse todas las cuentas que se quieran de sistemas como WhatsApp y Line.Y hasta aquí llegamos. Han pasado muchas más cosas, pero esperemos que con este resumen tengas una lectura interesante para este domingo. Nos vemos cada dos semanas en esta sección y todos los días en Seguridad Apple.
No hay comentarios:
Publicar un comentario