Como cada dos semanas, regresamos con el resumen de noticias que hemos publicado aquí, en Seguridad Apple, para que no os perdáis ninguna de las cosas que han sucedido, y puedas acceder a toda la información de manera rápida.
Comenzando el resumen, el 19 de agosto hablamos de la nueva versión Apple iTunes 11.0.5 para Mac OS y Windows disponible en versiones tanto de 32 como 64 bits. Te recomendamos que actualices cuanto antes.
Continuamos el día siguiente con un curioso servicio llamado KeyMe, que ofrece una aplicación que para almacenar una copia escaneada de tus llaves de casa en la nube.
A la mitad de semana, pasamos a hablar de un nuevo ataque de phishing que emulaba la web oficial de Apple con el objetivo de robar cuentas de Apple ID. Como el ataque fue descubierto de forma temprana pudimos ver cómo el sitio malicioso estaba activo, pasaba a ser marcado como malicioso y acababa desactivado.
 |
| Presence app |
Un día después nos hicimos eco de un documento de la NSA donde se recogen recomendaciones de seguridad para Mac OS X. En él hay 13 secciones principales de buenas prácticas y puntos a tener en cuenta para fortificar Mac OS X que os enlazamos con artículos que os ayudasen a profundizar en ellos.
El sábado de esa semana nos paramos a revisar un nuevo adware que simula ser un actualizador de Adobe Flash Player 11 añadiendo plug-ins y add-ons de anuncios publicitarios a los navegadores Mozilla Firefox, Google Chrome y Apple Safari tanto en sistemas Microsoft Windows como en Mac OS X.
Para acabar el resumen de la primera semana, volvimos a la biometría, ya que se descubría que Apple había aplicado por una nueva patente del sensor biométrico en Europa en la que se describen detalles de su estructura, como por ejemplo cómo de efectivo será debajo de las carcasas de los dispositivos.
Comenzamos la segunda semana con el aviso de una actualización del firmware de AirPort Base Station, conocidas como las estaciones de WiFi de Apple. Aunque no corrige ningún bug de seguridad, sí que soluciona fallos importantes en los dispositivos.
El martes hablamos de VMInjector, una utilidad que permite tener acceso a máquinas Mac OS X virtualizadas sobre VMWare y saltar la autenticación. Esto le daría al atacante acceso a la misma mediante la inyección de una DLL en la máquina anfitriona - que debe correr en plataforma Windows -.
A la mitad de la semana hablamos del protocolo SSTP, y cómo configurar VPN SSL en Mac OS X . Mac OS X por defecto no soportar SSTP, pero con sstp-client y EasySSTP es posible configurar este tipo de redes VPN en OS X. Al día siguiente vimos un paso a paso de cómo configurar conexiones VPN SSL con Easy SSTP, y un poco más adelante os contaremos cómo hacerlo con sstp-client.
A la mitad de la semana hablamos del protocolo SSTP, y cómo configurar VPN SSL en Mac OS X . Mac OS X por defecto no soportar SSTP, pero con sstp-client y EasySSTP es posible configurar este tipo de redes VPN en OS X. Al día siguiente vimos un paso a paso de cómo configurar conexiones VPN SSL con Easy SSTP, y un poco más adelante os contaremos cómo hacerlo con sstp-client.
Este viernes hicimos una prueba de concepto con Metasploit y el CVE-2013-1775 que permite saltar la restricción de contraseña de sudo cambiando la fecha del sistema al 1 de Enero de 1970. Una elevación de privilegios que puede ser utilizada en un test de intrusión de red en el que te topes con un Mac OS X.
Por último, ayer sábado hablamos de un curioso y molesto fallo en CoreText, tanto en iOS como en Mac OS X, que causa una denegación de servicio con solo intentar renderizar unos caracteres arábigos en formato UTF-8.
Esto es todo lo que hemos publicado durante este periodo, pero también han pasado otras cosas de las que no hemos hablado y que os traemos también en este artículo para que no se os pasen. Aquí van los que hemos seleccionado:
- Whitepaper en ataques en redes de datos IPv6: En el blog de Eleven Paths se ha publicado un White Paper en inglés que recoge cómo atacar redes IPv6 con Evil FOCA.
- Apple es la compañía más atacada por los Patents Troll: Ya hablamos aquí hace tiempo de las patentes y los trolls que se dedican a ganar dinero denunciando. Apple es la que más lo sufre según un estudio.
- Presentaciones de DefCON 21: En Cyberhades se han recogido todas las presentaciones publicadas en la última edición de la conferencia más mítica de hackers.
- Apple renueva la web de Apple Care: A partir de ahora tendrá soporte 24 horas de chat en directo, y una nuevo diseño de la web completa.
- Apple libera OS X Mavericks Developer Preview 6: Para que los desarrolladores puedan probar las nuevas funcionalidades. A partir de Septiembre comenzaremos a hablar de las novedades del nuevo sistema operativo de Apple.
- Caídas de los servicios de Apple durante horas: iCloud, iMessage y Photo Stream estuvieron caídos durante varias horas, un total de 11 horas en total, dejando a los usuarios sufriendo las molestias.
Y esto ha sido todo. Os esperamos en esta sección dentro de dos semanas y cada día en los artículos que os publicamos aquí, en Seguridad Apple.
No hay comentarios:
Publicar un comentario