Daboweb | Seguridad y ayuda informática |

Como mucho sabréis, anteayer fue el día del lanzamiento de la esperada versión 3.0 del iPhone OS, sistema operativo que incorpora el teléfono de Apple, con nuevas funcionalidades y mejoras, pero también el de una gran corrección de bugs (muchos compartidos en el iPod Touch).

Días atrás, ya os resumimos la lista de novedades del iPhone 3 GS y de esta versión 3.0 del software, lo que en ese momento nadie salvo Apple sabía, es que traía consigo la solución a 46 vulnerabilidades (inexplicablemente) heredadas de versiones anteriores, algunas conocidas y otras no. Hace no mucho yo mismo opiné sobre la falta de seriedad en asuntos de seguridad de la que últimamente está haciendo gala Apple (véase el tiempo que han tardado en parchear su bug en Java).

La lista parches aplicados es muy amplia, sirvan como ejemplo las 23 que se han solventado en WebKit y Safari, que se lleva la palma respecto posibles ejecuciones de código arbitrario en sitios web especialmente manipulados para explotar dichos bugs. Además de en Safari, se han corregido vulnerabilidades en CoreGraphics, Exchange, ImageIO, ICU, IPSec, libxml, PDF, Mail, Codecs de vídeo MPEG-4, etc, por lo que es más que recomendable actualizar a la mayor brevedad posible vía iTunes.

Por David Hernández (Dabo).

Fuente Vupen.

En la Keynote de ayer Lunes Apple ha superado con creces las expectativas creadas por la mayoría de sitios web dedicados íntegramente al mundo Mac.

Y es que no es para menos, hoy no estaba Steve Jobs en el escenario, pero los «fan boys» de Apple pueden estar contentos por la gran cantidad de novedades presentes y futuras que se han presentado en una Keynote que será recordada como de las más extensas, vamos a dar un repaso a todo lo nuevo que sobre el papel pinta muy bien.

Safari 4 para Mac OS X y Windows versión final;

La versión final del navegador Safari de Apple ha salido hoy a la luz, con un respeto mayor por los estándares (100/100 en el test Acid3), más velocidad y estabilidad, Safari 4 cuenta con el nuevo motor de Javascript «nitro» que es casi 5 veces más rápido que el que incorporaba Safari 3x, nuevas funcionalidades como «Top Sites», búsqueda en todo el historial, vista tipo «Cover Flow» así como un mayor soporte para HTML 5, mejoras en CSS, etc.

Información y descarga de Safari 4 final para Mac y PC (Disponible en el menú «Actualización de Software»)

Nuevo iPhone 3GS y para los actuales, la esperada versión 3.0 del software;

Algunas funcionalidades del nuevo iPhone 3GS, el 19 de Junio (la «S» es de speed, velocidad) son compartidas en la versión 3.0 del software (el 17 de Junio estará disponible para los antiguos) e increíblemente no las incorporaban, vamos a repasar lo que trae el nuevo iPhone 3GS y algunas novedades del software 3.0.

La demandada función de copiar, pegar, cortar y deshacer texto entre aplicaciones ya disponible.
Nueva cámara de 3 megapixeles con auto-focus, geolocalización y grabación de vídeo (calidad VGA) 30fps
Control de voz, brújula digital junto con el GPS, batería con mayor duración (un 30 % más), algo necesario si se activa el 3G.
Envío de mensajes multimedia (MMS) ya desde su lanzamiento, escritura y vista horizontal para aplicaciones (como mail).
Nueva versión del navegador Safari con soporte para audio y vídeo HTML 5, streaming con el nuevo QuickTime de audio y vídeo.
«Find my phone» para usuarios de MobileMe, se puede ver en un mapa la situación del teléfono caso de haber sido robado y borrar sus datos.
Soporte de OpenGL ES 2.0 para videojuegos, soporte igualmente para HSDPA de 7.2 Mbps, una navegación más rápida.
Otra que no sé si Telefónica aprobará, la función «Tethering» el uso del iPhone como modem vía USB o Bluetooth usando la tarifa del teléfono. De todos modos esto ya se puede hacer con el «JailBreak».

Como dato complementario la empresa Tom Tom ya ha desarrollado su versión de navegador para el iPhone y ha sido aprobado (por fin) por Apple por lo que se podrá disfrutar de un navegador «de verdad».

Nuevos MacBooks Pro de 13 «, novedades para el resto y rebajas en los «Air»;

La sorpresa del día vino con los MacBook de aluminio (antes Unibody), que ahora se llamarán MacBook Pro, creando de este modo una nueva gama de 13 pulgadas (hasta ahora los «pro» eran de 15 ). El nuevo MacBook Pro de 13 pulgadas (desde 1.100 eur) incorpora

Continue reading…

Acaban de ser liberadas por parte de Apple sendas versiones de sus reproductores de audio y vídeo iTunes y QuickTime, disponibles para Mac OS X versiones 10.4.10 y posteriores así como para sistemas Windows (Vista y XP service Pack 3).

Las nuevas versiones solventan varios fallos de seguridad importantes como pueden ser; desbordamientos del buffer, ejecución arbitraria de código, etc. Tanto visitando páginas web especialmente manipuladas para explotar los bugs, como viendo ficheros PSD, PICT o de vídeo también empaquetados con el mismo fin.

Dado el impacto de estos fallos y su posible explotación en el sistema, se recomienda actualizar con brevedad iTunes a la versión 8.2 y QuickTime a la 7.6.2. (Fuente, lista de correo de Apple)

Descarga de iTunes 8.2 | Descarga de QuickTime 7.6.2.

En la pasada noche, Apple publicó la versión 10.5.7 de Leopard, con unos 286Mb aproximadamente (en mi viejo Powerbook G4) y unos 449 Mb en un MacBook Unibody.

Las recomendaciones para esta instalación, son las siguientes:

• Realizar backup del sistema
• Cerrar todas las aplicaciones.
• No interrumpir la instalación
• Puedes tener resultados inesperados si has realizado alguna modificación del sistema operativo

Entre las diferentes mejoras encontramos:

General

• Ultimas actualizaciones de seguridad.
• Mayor compatibilidad con ficheros RAW de cámaras de otros fabricantes
• Mejoras en el rendimiento a la hora de reproducir video y movimientos de cursor en los últimos Mac equipados con tarjetas NVIDIA
• Resuelve el problema con la distribución de teclado Dvorak.
• Mejoras en diferentes widgets del panel: Bolsa, Conversor de Unidades, Tiempo y Películas
• Resuelto un error que podría causar problemas a la hora de iniciar sesión en Gmail
• Mejora la sincronización con contactos de Yahoo
• La Utilidad Ranura de Expansión ahora informa de la correcta configuración de la ranura PCIe
• Mejoras en el rendimiento cuando se conecta a un Switch Ethernet que tenga la opción de Control de Flujo activada
• Mejora en las búsquedas del Finder para las realizadas en volúmenes de red no soportados por Spotlight, como Time Capsule, Mac Os Server v10.4 y servidores de terceros
• Mejoras en el Servicio de Directorio y Gestión de Clientes.

iCalc

• Mejora de la fiabilidad general de CalDav
• Mejora en la sincronización automática con Mobil Me

Mail

• Resuelve los problemas de fiabilidad y sincronización con Notas.
• Resuelve un problema que puede originar que el campo Cco se complete de manera incorrecta al redirigir un mensaje desde el buzón Enviado.

Controles parentales

• Mejora la coherencia con los Controles parentales y la aplicación de Restricciones.
• Resuelt0 problema por el cual los límites de tiempo no funcionan correctamente en los juegos a pantalla completa y en Cambio rápido de usuario.

Impresión

• Resuelve un problema que ocasiona que algunas impresoras de otros fabricantes impriman en la bandeja de papel incorrecta.
• Las cuentas de usuario que no son administradores pueden ser autorizadas para añadir y quitar impresoras activando los Controles parentales y seleccionando “Poder administrar impresoras”
• Incluye otras mejoras para la fiabilidad y estabilidad de las impresiones.

Tengo que decir, que esta actualización se me antoja algo lenta para equipos algo antiguos.  Esta mañana he tenido que dejar el ordenador actualizandose cuando ya pasaban 10 minutos del comienzo, no ocurre lo mismo con equipos más nuevos, ya que en un Macbook Unibody tan solo ha tardado 5 minutos (siendo más del doble de tamaño)

Asimismo, se ha publicado la actualización 2009-002 para Tiger, que soluciona diferentes errores de seguridad y mejoras.

Apple ha publicado una actualización del firmware de las baterías de algunas series de sus portátiles MacBook. Puedes comprobar si tu portátil está en la lista de modelos afectados por la actualización y caso de que así sea, ten en cuenta lo siguiente;

Desde el Finder, accede al menú «Acerca de este Mac» – «Más información» – «Hardware» – «Alimentación». Una vez allí, la información deberá contener lo siguiente para realizar el update;

* “ASMB016” o “ASMB013” en el número de serie.
* Un Pack Lot Code: 0002.
* Una batería con la versión del Firmware: 0110.

Si la versión del firmware es la «0003», no necesitarás realizar la actualización (que dura un minuto y después tendrás que reiniciar). Esta actualización viene a solventar sobre todo problemas con la batería caso de que haya un largo periodo de inactividad del MacBook ya que están dando problemas en muchos equipos bajo estas circunstancias.

Descarga de Battery Update 1.4 | Fuente; Apple Weblog.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.

Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.

Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Está ya disponible vía el menú «Actualizacion de software» de vuestros Mac la revisión de seguridad 2009-1 para Mac OS X 10.5.6 y 10.4.11 versiones de escritorio y server.

Dado los fallos que esta actualización de seguridad soluciona, es recomendable su instalación inmediata para estar protegidos ante una posible explotación de los mismos.

Concretamente, se han corregido los siguientes componentes vulnerables del sistema;

AFP Server, Apple Pixlet Video, CarbonCore, CFNetwork, CFNetwork, Certificate Assistant, ClamAV, CoreText, CUPS, DS Tools, fetchmail, Folder Manager, FSEvents, Network Time, Perl, Printing, Python, Remote Apple Events, Safari RSS, SMB, SquirrelMail, X11, XTerm.

También se han liberado sendas actuaciones de Java para las mismas distribuciones que solventan vulnerabilidades en Java Web Start y Java Plug-in que podrían ser sensibles a ataques vía webs especialmente manipuladas para tal fin.

Más info | Zona de descargas de Apple.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Añado, también se está propagando en copia ilegal de CS4 una variante de iServices.A catalogada como iServices.B.

Aquí el parche para eliminar el que venía en la versión de iWork 09 (OSX.trojan.iServices.A)

Ha sido Intego quien ha dado la voz de alarma avisando de que una copia de la suite iWork 09 disponible en redes de ficheros Torrent contenía bajo su inofensiva apariencia un troyano (OSX.trojan.iServices.A), obviamente una copia ilegal y manipulada del software de Apple.

¿Cómo actúa? Se aloja en el equipo afectado vía el programa de instalación de iWork aprovechando que pide la clave de administrador a la hora de instalarlo, después y una vez que ha notificado a su autor la infección, el equipo afectado pasa a ser parte de una red zombie de «bots» para entre otras oscuras funciones, tal y como podemos leer en Hispasec, realizar ataques de denegación de servicio al sitio web dollarcardmarketing.com.

Además y para asegurar su «efectividad» o disponibilidad, el malware se aloja en la carpeta de inicio del usuario y según informan desde Intego, ya son más de 20.000 usuarios los que se han descargado por esa vía iWork 09 y por lo tanto, serán unos cuantos miles los troyanizados…

Lo cual, nos lleva a una reflexión sobre la seguridad de Mac OS X y su posible rentabilidad para la industria del malware que pueden ver ampliadas sus actividades delictivas en una plataforma que poco a poco, va consiguiendo más cuota de mercado y por lo tanto más interés para ellos.

Hace no mucho tiempo, Apple aconsejaba en una de sus secciones de soporte el uso de un antivirus en Mac OS X, cuando la leí, me pareció una actitud muy responsable, un cambio pero…cuando poco después la borraron me dije, «más de lo mismo…». Una más de «iResponsabilidad».

La «famosa» nota;

Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent, thus making the whole virus writing process more difficult. Here are some available antivirus utilities:

Lo que venía a decir que no querían ponérselo fácil a los creadores de virus y recomendaban el uso de varios antivirus comerciales (Intego VirusBarrier X5, Symantec Norton Anti-Virus 11, McAfee VirusScan for Mac) pero ¿curiosamente? se olvidaron de ClamXav, la variante de  ClamAv para Mac OS X de libre uso y descarga con licencia GPL.

Así que espero que empiecen a modificar secciones en su web del tipo a la de «Razones para adorar un Mac» en las que leemos joyas (más bien coñas) como esta;

Seguridad para ti y para tus peques. (WTF).

Mac OS X, que ha sido diseñado pensando en la seguridad, no está asediado por los constantes ataques de virus y programas dañinos. Asimismo, no se ve inundado por los inagotables diálogos de seguridad. Por eso puedes dedicarte al trabajo —o los juegos— con seguridad y sin molestas interrupciones. Además, los controles parentales fáciles de usar te ayudan a decidir lo que tus hijos pueden hacer con el ordenador y cuándo.

Me gustaría saber cuantos usuarios de Mac OS X activan los controles parentales a sus hijos porque una cosa es que no les entren virus y otra es por donde navegan y de que modo. Y ahí volvemos al bucle, si Apple les dice a los padres estas cosas, no se preocuparán realmente por los hábitos de seguridad de «sus peques»…

Una de las falsas creencias de algunos usuarios de Apple es que son invulnerables a los virus o cualquier tipo de malware, falso además de troyanos como este, basta con dar un vistazo al Bugtrack en Security Focus haciendo una sencilla búsqueda para ver todo tipo de vulnerabilidades (que algunos llaman actualizaciones de software) tales como; Desbordamientos de buffer que llevan a escaladas de privilegios en el sistema, ataques de denegacion de servicio, ejecuciones remotas y locales de código, ataques por directorio transversal, envenenamiento de DNS, etc, etc.

Un usuario de Mac, también está igual de desprotegido que los demás frente a muchos ataques comunes a otros sistemas que se valen de vulnerabilidades de aplicaciones y su interacción con Internet (como pueden ser las de un navegador sumado a engaños varios y ataques provocados por lo que se denomina la ingeniería social, eso tienen que tenerlo claro los que se preocupen por la seguridad de sus datos personales, bancarios, privacidad, etc, etc. Es por ello que el uso de un antivirus junto a un firewall (que por cierto, el firewall de aplicaciones de Leopard para mi es mucho peor que el de Tiger) además de la puesta en marcha de unas normas básicas de seguridad son más que necesarias hoy en día.

Estad tranquilos, Mac OS X sigue siendo un sistema muy seguro, creo que no exagero si digo que tal y como viene «de serie» mucho más que Windows por su gestión de cuentas de usuario, permisos de ficheros y servicios corriendo en el sistema, también ayudado por una arquitectura con su robusto núcleo Unix etc, etc. Pero sobre todo, hablando de ataques de virus «tradicionales», por la escasa cuota de mercado que tiene (en aumento) que no lo hacen muy rentable para la industria del malware (software malicioso) pero algo está cambiando…

Ahora bien ¿Cúal es el eslabón más débil de la cadena de la seguridad?

El usuario final y es Apple también quien tiene que ayudar a crear una atmósfera de responsabilidad en estos temas.

Esta entrada va dedicada a esos 20.000 que han descargado esa copia ilegal y troyanizada de iWork 09 y a otros muchos que podrían caer en el engaño, hay lógicamente muchos usuarios de Mac OS X que se toman muy en serio la seguridad de sus equipos y toman las medidas oportunas para evitar hechos como este, pero creo que es una labor de todos concienciarnos ya que seguramente, con uno de esos antivirus a los que aludo, lo hubieran detectado.

En el campo de la seguridad informática, la confianza ciega es sólo eso, algo que nos ciega…

Por David Hernández (Dabo)

Más información (Intego) en Inglés.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Brian Mastenbrook (importante desarrollador de software de código abierto) ha encontrado una vulnerabilidad en Safari, el navegador de Apple.

Dicha vulnerabilidad, ocurre cuando se tratan RSS y ocasiona que un posible sitio malicioso pueda acceder a ficheros  que se encuentran en el disco duro de la víctima.  Esto hace que cualquier fichero este  expuesto ante el ataque.

La versión afectada es la que viene con el Sistema operativo Mac OS 10.5, versiones de anteriores sistemas operativos no se ven afectadas, pero las versiones de Safari para Windows también se ven afectadas.

Mientras Apple desarrolla el parche para esta vulnerabilidad, el propio Brian recomienda realizar los siguientes pasos para evitar problemas:

1- Instalar la aplicación RCDefaultApp, siguiendo las instrucciones.

2- Abrir las Preferencias de Sistema y elegir la opción de Default Applications

3- Elegir la opción URL.

4- En las opciones de feed, feeds y feedsearch seleccionar una aplicación diferente a Safari o deshabilitarla directamente

Este método sólo sirve para usuarios de Mac, para los de windows, se recomienda la utilización de cualquier otro navegador, hasta que esté solucionado el problema

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Apple ha publicado la versión 10.5.6 de Leopard que con un tamaño de 372 Mb, también incluye la actualización security update 2008-08 (debajo info sobre esta actualización de seguridad en Tiger).

Dado que los cambios son de importancia tanto para el sistema operativo como para muchas aplicaciones que podemos encontrar en Mac OS X, os recomendamos actualizar vuestros sistemas a la mayor brevedad posible.

Entre las diferentes mejoras encontramos:

• Cambios en la Agenda para una mejor sincronización con el iPhone

• Airport: Mejoras en la itinerancia en redes  de gran tamaño

• iChat:  Entre otras cosas, arregla un problema en el que solía aparecer una alerta de certificado incorrecto y resuelve el problema al pegar texto desde Microsoft Office

• Gestión de Clientes: Cambios en la sincronización de archivos del directorio home.

• Gráficos:  Mejoras de rendimiento para diversas aplicaciones y juegos (iChat, Cover Flow..)

• Mail:  Mejoras en el rendimiento, arreglo de bugs que podían hacer que correos marcados como spam se quedasen en el buzón de entrada

• MobileMe:  Mejoras en el rendimiento en la sincronización de contactos.

• Red: Aumenta el rendimiento a la hora de compartir archivos, con tarjetas 3G y conexiones TCP. Actualiza el cliente SSH y aumenta la compatibilidad con diferentes servidores.

• Impresión:  Mejora la impresión con Adobe CS3 e impresoras USB Canon y Brother

• Parental Control:  Cuentas bajo Parental Control no pueden acceder a iTunes Music Store

• Time Machine:  Mejoras en el funcionamiento de Time Machina que soluciona diferentes mensajes de error.

• Safari:  Mejora en el manejo de servidores Proxy

• General: Diversas correcciones de bugs de Mac Os X, y arregla diferentes fallos y mejoras en diferentes aplicaciones como Chess, DVD Player, iCal.  Añade una ventana de configuración para el Trackpad en algunos portátiles, añade compatibilidad para algunas smart card y actualiza diferentes usos y manejos horarios.

Asimismo, Apple ha publicado la actualización 2008-08 para Mac Os Tiger que soluciona entre otras cosas el bug en el plugin de Flash, del kernel y de librerias del sistema, también está disponible vía «Actualización de software».

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

#AVISO, EL USO DE UN PROGRAMA COMO ESTE, SEGÚN ALGUNOS LEGISLADORES Y LA $G@€, PUEDE MANDARTE POCO MENOS QUE A LA CARCEL#

Sirva este «disclaimer» (o aviso) de arriba como un apunte meramente «desdramatizante» sobre lo que algunos quieren hacernos creer cuando usamos un programa de intercambio de archivos, así que ya sabéis, los programas para descargar Torrents son únicamente para intercambiar vuestras fotos de las vacaciones, no sea que…

Y hablando de Torrents, uno de los más valorados en sistemas Windows, µTorrent, se está acercando cada vez con más fuerza al mundo Mac, tanto es así que se ha liberado ya la versión «beta» de este programa. A pesar de que la versión para Mac OS X contará con menos opciones disponibles e información sobre las descargas que la versión para Windows y que sólo está en Inglés, la expectación que se está creando es grande.

Según leemos en Wikipedia;

µTorrent (también conocido como uTorrent o microTorrent) es un cliente BitTorrent freeware escrito en C++ y traducido en 49 idiomas. El programa completo corresponde a un archivo ejecutable de 170 KiB, o 218 KiB (correspondiente a la versión 1.7.2 ).

Una de las características más valoradas de este programa es la velocidad de las descargas y los pocos recursos que consume. Puede ser una alternativa más dentro de la oferta para Mac a los ya conocidos Transmission, Tomato, Azureus, xTorrent, etc.

Para descargar esta versión beta (no es una versión estable, ojo) hay que registrarse dejando una dirección de correo y seleccionando la versión de Mac OS X que se está usando.

Y hablando de Torrents, os comento que en GNU/Linux yo uso KTorrent (Una info de mi blog) con muy buenos resultados.

Acceso a; Descarga de µTorrent para Mac OS X

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Se han reportado varias vulnerabilidades en el navegador web Apple Safari que afectan a las versiones para Windows XP, Vista, Mac OS X v10.4.11 y Mac OS X v10.5.5.

Los problemas localizados pueden llevar a la ejecución de código arbitrario, conseguir información sensible del sistema afectado, un cierre inesperado de la aplicación, ataques de denegación de servicio, etc, etc.

Todos estos motivos hacen que actualizar Safari a la nueva versión 3.2, que solventa dichos bugs, sea algo más que necesario si no queréis tener problemas con su uso.

Más info > Página de descarga de Safari | Notas de la nueva versión

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Según informan desde la lista de correo de Apple se han reportado varias vulnerabilidades en el paquete iLife 8.0 de Apple y Aperture 2, los fallos se dan en  Mac OS X Tiger , versiones que van desde la 10.4.9 hasta la 10.4.11 y están solventados en sistemas corriendo bajo Mac OS X v10.5.5 (Leopard).

Los problemas se dan cuando se visualizan imágenes en formato JPEG y TIFF previamente manipuladas por usuarios maliciosos que al ser visualizadas pueden provocar un cierre inesperado de la aplicación o la ejecución de código arbitrario.

La solución pasa por instalar el paquete iLife Support 8.3.1. vía vuestro menú «Actualización de software» o el sitio web de descargas de Apple

Más información (Web de Apple).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.