Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Actualizaciones de seguridad para OS X y iOS reparan serias fallas
Apple ha publicado actualizaciones de seguridad para Safari, OS X Yosemite (y versiones previas de OS X) y para iOS.
La actualización de OS X contiene reparaciones para 77 vulnerabilidades, muchas de las cuales pueden ser explotadas por atacantes para ganar privilegios como administrador o root, aplicaciones de choque, realizar el acceso no autenticado al sistema, ejecutar código arbitrariamente, interceptar trafico de red, entre otras.
Esto también incluye correcciones para vulnerabilidades en la Mac EFI (Interfaz Firmware Extensible), una de las cuales podría permitir a una aplicación maliciosa con privilegios de root modificar la memoria flash EFI cuando se reanuda desde el estado de reposo.
La existencia de la vulnerabilidad de suspendido/reanudado fue revelada públicamente hace un mes por el investigador Pedro Vilaça de SentinelOne, quien basó su investigación en previos descubrimientos por los investigadores Trammell Hudson, Xemo Kovah y Corey Kallenberg. Se pueden encontrar más detalles en este blog.
"Si bien (creo) es pequeño el impacto en el mundo real, es una vulnerabilidad crítica", señala Vilaça. La actualización de Mac EFI (incluida en la actualización OS X) repara este agujero.
La actualización de seguridad del iOS contiene correcciones para una serie de vulnerabilidades que pueden terminar aplicaciones inesperadamente o ejecutar código arbitrario con sólo hacer que los usuarios o el proceso del sistema operativo abran un PDF malicioso, texto fuente o archivos .tiff.
También fue reparado el fallo Logjam en el núcleo TLS que podría ser aprovechado por un atacante con una posición de red privilegiada para conexiones SSL/TLS. Fueron descubiertas dos vulnerabilidades por investigadores de FireEye, con las cuales se podría permitir que los atacantes implementen dos nuevos tipos de ataques Masque y evitar que iOS y Watch ejecuten aplicaciones.
"Nosotros llamamos a estas hazañas Manifiesto Masque y Extension Masque, podrían ser usadas para demoler aplicaciones, incluyendo aplicaciones del sistema (por ejemplo, Watch de Apple, Health, Pay, etc.) y romper el contenedor de datos de aplicaciones", detallaron los investigadores en una entrada de blog en la cual también detallaron una reparación previa no revelada, una vulnerabilidad masque que evita el forzado de autorización en iOS y secuestra el tráfico VPN.
De acuerdo con los investigadores, aproximadamente un tercio de los dispositivos iOS todavía tienen el último fallo, ya que sus propietarios no han actualizado su sistema operativo a las versiones 8.1.3 o superiores.
