Enero fue un mes muy movido en el mundo de la seguridad informática, y de momento Febrero no le anda a la zaga. Tras catorce días con muchas novedades, hacemos una breve parada para revisar las noticias publicadas en Seguridad Apple y otras webs de referencia que han tenido que ver con las tecnologías Apple y la seguridad informática, que es nuestro objetivo principal.
El lunes 25 os hablamos del artículo aparecido en Reverse Engineering Mac OS X que explicaba cómo hacer reversing a la vulnerabilidad de corrupción de memoria de syslog en OS X El Capitán.
El día siguiente centramos nuestro post en la actualización de XProtect publicada por Apple, que permite detectar ataques con exploit a Microsoft Silverlight en sistemas OS X.
La última actualización del sistema operativo de la AppleTV, tvOS 9.1.1 fue la protagonista del post de mitad de semana, ya que puso punto y final a varias vulnerabilidades de criticidad alta.
El jueves nos hicimos eco de una vulnerabilidad bastante inusual, que puede provocar que nuestro navegador se caiga simplemente por visitar una determinada URL. Este bug afecta a Safari, Chrome, iOS y OS X por lo que hay que actualizar.
El viernes os contamos cómo Apple ha retirado el soporte oficial de la versión Snow Leopard de OS X, tras cuatro años de vida y siendo uno de los sistemas operativos más utilizados por usuarios de Mac.
Comenzamos el fin de semana explicando cómo las técnicas de Hot-Patching pueden permitir al malware diseñado para iOS evadir el flujo de validación de la AppStore.
Para cerrar la semana os contamos un sencillo algoritmo para determinar si el iPhone que estáis a punto de adquirir ha sido robado, sin más que comprobar el IMEI del dispositivo.
El primer post de Febrero se centró en la exclusividad de Do Not Track para Safari en iOS, ya que el resto de navegadores de terceros, como Google Chrome o Mozilla Firefox, carecen de esta funcionalidad.
La liberación por parte de Google Security de varios exploits para atacar OS X El Capitán 10.11 causó mucho revuelo el martes 2, ya que entre otras cosas permitían realizar escalada de privilegios.
El miércoles os mostramos un pequeño vídeo donde se desarrolla una prueba de concepto del Jailbreak Untethered para la beta de iOS 9.3, llevado a cabo por el conocido investigador de seguridad Luca Todesco.
El jueves os trasladamos las declaraciones de uno de los miembros más importantes de Pangu, que recomienda actualizar cualquier iPhone, iPad o iPod Touch a la última versión disponible, la versión iOS 9.2.1.
El viernes anunciamos el taller de Sinfonier: Cómo convertí a mi abuela en una analista de datos, que se llevará a cabo el próximo día 12, y aprovechamos para recordaros el deadline del Sinfonier Community Contest.
Por último, ayer sábado os contábamos como Apple ha comprado la empresa de los investigadores de seguridad especializados en BIOS/UEFI que publicaron el exploit de ThunderStrike II que podría llevar a la creación de gusanos en Mac OS X infectando directamente el firmware.
Como siempre, completamos esta lista de publicaciones con un extra basado en artículos publicados en otros medios que no debes dejar de conocer. Aquí tienes la selección que os hemos hecho para hoy, domingo de carnaval.
Por último, ayer sábado os contábamos como Apple ha comprado la empresa de los investigadores de seguridad especializados en BIOS/UEFI que publicaron el exploit de ThunderStrike II que podría llevar a la creación de gusanos en Mac OS X infectando directamente el firmware.
Como siempre, completamos esta lista de publicaciones con un extra basado en artículos publicados en otros medios que no debes dejar de conocer. Aquí tienes la selección que os hemos hecho para hoy, domingo de carnaval.
- Tienes hasta el 15 de Febrero para ganar hasta 14.000 USD: Ese es el último día en el que puedes presentar tus trabajos al Latch Plugin Contest & Sinfonier Community Contest. Con unos buenos hacks vas a poder terminar obteniendo un buen rédito, además de aprender tecnología, que es el objetivo final de este trabajo.
- Vigila que tu MongoDB no de tus datos a cualquiera: En el lado del mal, nuestro compañero Chema Alonso alerta de una situación de inseguridad grande que se da en Internet, con la publicación de miles de bases de datos MongoDB que no exigen autenticación para consultar los datos.
- Malware Musseum: El investigador Mikko Hypponen ha comenzado una ardua tarea de recopilar en el Museo del Malware, las muestras de virus antiguos para que puedan ser estudiados por todos. A día de hoy no cuenta con muchas muestras, pero poco a poco se espera que crezca.
- Seguridad en IoT: La pasada semana, Eleven Paths en compañía de otras organizaciones del sector, presentó un paper sobre la Seguridad IoT, en el que intentamos concienciar a las personas y organizaciones sobre el reto de seguridad al que nos enfrentamos en el futuro. Nunca hemos visto una escala y un ámbito de aplicación tan grande como al que vamos, y necesitamos que pensemos en la seguridad desde el principio.
- Vídeos de ShmooCON 2016: Nuestros compañeros de Cyberhades han recopilado los vídeos de la pasada conferencia que tiene lugar todos los años en Washington D.C. Para que disfrutes a la carta de las charlas que más te apetezca.
- Robar el backup de iPhone con iLoot: Al igual que otras herramientas, este script OpenSource en Python llamado iLoot permite acceder a los backup de iOS en Apple iCloud.
- Comunidad Eleven Paths: Como sabéis, abrimos hace algún tiempo un foro abierto en Internet en el que puedes participar e interactuar con los compañeros de nuestra compañía para preguntar dudas técnicas sobre nuestras tecnologías. Créate una cuenta y participa con nosotros.Y esto ha sido todo. Esperamos que tengáis un buen domingo, y que volvamos a vernos en esta sección dentro de dos semanas y cada día en los artículos que publicamos aquí, en Seguridad Apple.
No hay comentarios:
Publicar un comentario