Apple ha liberado actualizaciones de seguridad críticas para los equipos
Mac, por lo que se deben instalar lo antes posible para solventar los
bugs que son corregidos en estas actualizaciones. El
Security Update presentado solventa un gran número de
bugs. Se han solventado fallos para
OS X 10.10.4, para el navegador de
Apple Safari, para la
Mac EFI,
Quicktime e
iTunes. En este artículo se detallarán el número de
bugs que han sido solventados por cada producto.
La lista completa de
bugs que han sido corregidos en la actualización del sistema operativo se recogen en el
Security Advisory APPLE-SA-2015-06-30-2 OS X Yosemite v10.10.4 and Security Update 2015-005. En este
Advisory podemos ver
77 CVEs, de los cuales
25 permiten la ejecución de código arbitraria.
|
Figura 1: Security Advisory OS X 10.10.4 y Security Update 2015-005 |
En lo referente al navegador de
Apple Safari nos encontramos un paquete de actualización que solventa
4 bugs. Destacan algunos que permiten la ejecución de código arbitraria a través de ataques
Client-Side, dónde el usuario accede a un sitio web malicioso el cual le envía un
exploit que permite ejecutar código. Las versiones nuevas de
Safari son la
8.0.7, 7.1.7 y
6.2.7. El
Security Advisory es APPLE-SA-2015-06-30-4 Safari 8.0.7, Safari 7.1.7, and Safari 6.2.7.
|
Figura 2: Security Advisory para Safari 8.07, 7.1.7 y 6.2.7 |
En el caso de la
Mac EFI, se ha lanzado un
Security Update 2015-001 en el cual se solventan
2 vulnerabilidades. La primera de ellas solventa el
bug que permitía instalar
Rootkits en Mac, mientras que el segundo mitiga el error de
Rowhammer, en el que el malware podría comprometer la integridad de los valores almacenados en la
DRAM, y por lo tanto tener acceso a toda la memoria.
|
Figura 3: Mac EFI Security Update 2015-001 |
La aplicación
QuickTime ha sido actualizada a la versión 7.7.7. En esta versión se parchen 9 vulnerabilidades, las cuales permiten la ejecución de código arbitrario. Además, se ha actualizado
iTunes a la versión 12.2 solventando
39 bugs de seguridad que permiten ejecución de código arbitrario.
No hay comentarios:
Publicar un comentario