Noticia Actualiza OSX, Safari y la TV para cerrar el bug del goto fail

compudemano

compudemano

Moderador
26 Jul 2013
385.465
34
38
Cr 15 13-35 Lc 1 Los Alpes, Pereira - Colombia
www.compudemano.com
Después del enorme FAIL de Apple con su goto fail duplicado la compañía ha lanzado una nueva actualización de OS X Mavericks, en este caso la versión 10.9.2. Esta nueva actualización trae en total la resolución de 29 fallos de seguridad, por lo que se hace una más que imprescindible en este caso. Además, Apple ha lanzando también el Security Update 2014-001 para actualizar los sistemas operativos Mac OS X Lion - también para la versión Lion Server - y la versión de Security Update 2014-001 para OS X Mountain Lion, con los que se resuelven algunos problemas más.

En estas nuevas actualizaciones vienen incluidas las nuevas versiones de Apple Safari 7.0.2 y Apple Safari 6.1.2, con soluciones de bugs de seguridad. Existían vulnerabilidades graves que han sido resueltas en ellos. A continuación se muestra un listado de algunas de ellas:
  • Múltiples vulnerabilidades en Apache las cuales permitían realizar un XSS. CVE-2013-1862 y CVE-2013-1896.
  • La Sandbox disponible en OS X Mountain Lion 10.8.5 puede ser bypasseada, por lo que el peligro es considerada.
  • ATS dispone de varios fallos de seguridad los cuales se pueden enumerar por los siguientes CVEs: CVE-2014-1254, CVE-2014-1262, CVE-2013-5179, CVE-2014-1255.
  • Vulnerabilidades en CoreText y CoreAnimation las cuales permiten la ejecución de código arbitrario tras la ejecución de un archivo malicioso. CVE-2014-1257 y CVE-2014-1258.
  • Vulnerabilidades en Safari para crear unas cookies persistentes, incluso después de resetear Safari.
  • Múltiples vulnerabilidades en PHP, en el Finder, LaunchServices, ImageIO, File Bookmark, etcétera.
La vulnerabilidad de SSL ha dado y dará mucho más que hablar, ya que no solo ha sido enorme, sino que ha hecho pensar que lo que dijo Jacobb Applebaum sobre el espionaje de la NSA en terminales iPhone pudiera haberse realizado mediante la introducción de esa línea de código de manera intencionada.


Figura 1: Programa de la NSA para espiar iPhone

En la lista de servicios afectados estaban muchos de los clave en Apple con iMessage, FaceTime, etcétera, lo que llevó al investigador Steffan Esser a sacar un parche de emergencia no oficial para el bug y a Apple a arreglar todo su software base, incluida también en la lista Apple TV 6.0.2 - también vulnerable al bug de SSL -.

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal




Continúar leyendo...
 
Iniciar sesión o registrarme para responder aquí.
Arriba Abajo