Una vez más, como hacemos cada dos semanas desde hace ya años, aquí estamos en esta sección de Fue Noticia en Seguridad Apple para volver la vista atrás y dar un breve repaso a todos los posts que se han publicado en este blog durante este periodo, junto con las recomendaciones de lectura de otros posts de otros blogs que no hemos tratado.
Empezamos con el lunes 31 de Marzo hablando de una vulnerabilidad que afecta a OS X 10.9.2 y Safari 7.0.2, permitiendo realizar una DoS remota explotando un bug de los controles de memoria de funciones relacionadas con expresiones regulares.
Al día siguiente nos despertamos con una noticia realmente sorprendente con el objeto de sumarnos al día de los inocentes americanos: la intención de Boeing de militarizar la tecnología de Apple debido a las increíbles propiedades aerodinámicas de los MacBook Air. Boeing pretendería utilizar esta tecnología para, entre otras cosas, el desarrollo de drones. Algo que nos pareció muy gracioso.
A mitad de semana, con motivo del April fools' day, hicimos un breve repaso de las mejores "inocentadas" publicadas, como el Selfie bot, el soporte de LinkedIn para añadir mascotas y sus habilidades, o la compra de iFixit por parte de Apple.
El jueves retornamos a la seriedad con una buena noticia desde el punto de vista de seguridad: dos actualizaciones de Safari que cerraban 27 CVEs, poniendo punto y final a vulnerabilidades que permitían, por ejemplo, inyectar una shellcode en la memoria del proceso del navegador desde una web maliciosa.
El viernes 4 descubrimos un bug en iOS 7.1, que permite a una persona con acceso al dispositivo deshabilitar el servicio Find My iPhone sin tener las credenciales que a priori se necesitan, y de esta manera imposibilitar el tracking del teléfono.
Para comenzar el fin de semana os presentamos una sencilla forma de conocer el consumo de datos de la conexión los servicios del sistema y de Siri así como medir las consecuencias que puede tener para nuestro bolsillo su uso fuera de nuestras fronteras.
El domingo una nueva patente por parte de Apple fue la temática del post. En este caso, la extracción segura de tarjetas SIM en dispositivos. Esto podría tener importantes implicaciones de seguridad, porque recordemos que es en la SIM donde se almacena la clave privada de cifrado de cada usuario y se busca que los ladrones tengan aún más difícil reutilizar los iPhone robados por los amigos de lo ajeno.
Nueva semana y noticia 'ecológica' para comenzar con buen pie. Según un estudio llevado a cabo por la organización GreenPeace, Apple iCloud es el servicio cloud más eficiente y limpio desde el punto de vista de consumo energético, y por tanto el más respetuoso con el medio ambiente.
El martes 8 descubrimos cómo un estudiante de informática logró falsificar tarjetas de embarque para Passbook, el gestor de tarjetas virtuales de Apple, para así volar gratis por toda Europa.
Un día después, presentamos una técnica para hackear Mac OS X a través de un conector Thunderbolt con un simple FPGA, haciendo posible que, por ejemplo, una contraseña siempre se de por buena en el proceso de autenticación local.
El jueves toco hablar de Heartbleed, la gravísima vulnerabilidad que afecta a varias versiones de OpenSSL para saber si te afecta en tu equipo OS X.
Para terminar el repaso, el termina con los avisos de actualizaciones de productos Apple para XCode 5.1.1 y sobre todo para Microsoft Office 2011 para Mac Update 14.4.1 que soluciona 3 CVEs de nivel de severidad crítico, que deberían ayudarte a mantener tu sistema operativo lo mas protegido posible.
Hasta aquí el resumen de todo lo publicado, pero aquí os dejamos la lista de otros artículos en otros blogs que creemos que no debéis dejar pasar en este periodo:
- Fácil fallo en Google Chrome para Windows y para Mac OS X permite que un servidor web te escuche: Utilizando las funciones de Speech Recognition, un programa en HTML5 podría escuchar todo lo que dice un usuario forzándole a hacer un clic en la web. Un bug que se suma al fallo de seguridad al no advertir del envío de contraseñas en URLs.
- Quizás el contrato más importante de la historia de Apple: Nuestros amigos de Cyberhades - autores del libro de Microhistorias - nos traen la anécdota del contrato entre Apple y Shepardson Microsystems para conseguir terminar Mac OS a tiempo con soporte para el acceso a disqueteras.
- Plugin de HeartBleed para Metasploit: Pablo González, autor del libro de Metasploit para Pentesters nos trae una descripción de cómo cargarlo y cómo se utiliza en el framewok de explotación por excelencia.
- El AMSTRAD CPC 464 cumplió 30 años en el mercado el pasado 11 de Abril de 2014. Un recuerdo para todos los que aprendieron informática con estos Z80 con cinta y monitor en fósforo verde.
- SCCAID, Cambio de contraseñas automático: En Security By Default nos hablan de esta herramienta que permite cambiar de forma automatizada todas las contraseñas de tus servicios online. Con panic button controlado por Latch, si lo quieres.
- Proteger tu cuenta de Shodan con Latch: En el blog de Eleven Paths nos enseñan cómo configurar la protección Latch en una cuenta del popular buscador Shodan. Hazlo con la tuya.Y esto ha sido todo, os esperamos dentro de dos semanas en esta sección y cada día en los artículos publicados en Seguridad Apple.
No hay comentarios:
Publicar un comentario