Apple acaba de liberar la versión de su Sistema Operativo móvil IOS 9.0.2 que solventa una vulnerabilidad por la cual se podía acceder a las fotos y contactos del dispositivo con la pantalla bloqueada. La actualización está disponible bien desde iTunes o desde el propio dispositivo en «Ajustes – General – Actualización de Software».
iPhone
[Breves] / Comentarios desactivados en [Breves] IOS 9.0.2 solventa bug en pantalla de bloqueo (CVE-2015-5923)
Sistemas Operativos / Comentarios desactivados en [Breves] Actualización de seguridad: IOS 8.3
Apple acaba de poner a disposición de los usuarios la versión 8.3 de su sistema operativo móvil solventando varios bugs de diferente impacto (una aplicación maliciosa podría saltarse el código de seguridad, posible ejecución de código en driver de audio, salto de restricciones en el sistema de backups, certificados, etc).
Esta versión de IOS ya está disponible vía actualizaciones «on the fly» e iTunes.
Debido a los problema de seguridad resueltos os recomendamos actualizar con brevedad. Estas actualizaciones están disponibles para iPhone 4S y posteriores, 5 y posteriores e iPad 2 y posteriores.
Seguridad Informática / Comentarios desactivados en [Breves] Actualizaciones de Seguridad Apple: iOS 8.1.3 | OS X v10.10.2 | Safari 8.0.3, 7.1.3, 6.2.3 | Apple TV 7.0.3
Tan sólo recordaros que Apple puso ayer a disposición de los usuarios múltiples actualizaciones de seguridad en iOS, OS X, Safari y Apple TV. Dichas actualizaciones solventan vulnerabilidades de todo tipo en versiones anteriores de software, por lo que os recomendamos encarecidamente aplicarlas.
Podéis informaros sobre cada de ellas en la siguiente tabla (Fuente Apple).
Nombre y enlace a la información |
disponible para: |
|
OS X v10.10.2 y Security Update 2015-001 | OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1 | |
Safari 8.0.3, Safari 7.1.3, y Safari 6.2.3 | OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10.1 | |
iOS 8.1.3 | iPhone 4s y posteriores iPod touch (5ª generación) y posteriores iPad 2 y posteriores | |
Apple TV 7.0.3 | Apple TV 3rd generación y posteriores |
Sistemas Operativos / Comentarios desactivados en Disponible IOS 7.1.1 (solventa 19 vulnerabilidades)
Tal y como podemos leer en CSIRT-CV, Apple ha puesto a disposición de los usuarios a través de la actualización vía OTA desde el terminal (Información-actualización de software) o desde iTunes, la versión 7.1.1 de su Sistema Operativo móvil IOS. Esta versión solventa 19 vulnerabilidades de diverso impacto por lo que recomendamos su actualización con brevedad.
De todos los fallos resueltos, 16 residen en su motor «Webkit» y podrían llevar a la ejecución de código arbitrario en una página maliciosa preparada para tal fin (extracto):
Las mejoras incluidas incluyen la implementación de más mejoras en el sistema de reconocimiento de huellas digitales TouchID, la solución de un problema que afectaba a la capacidad de respuesta de los teclados y la corrección de un problema relacionado con el uso de teclados Bluetooth con VoiceOver activado.
Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación.
Por otra parte, el primero de los problemas corregidos (CVE-2014-1296) reside en el tratamiento de las cabeceras http set-cookie que podría permitir a un atacante obtener el valor de la cookie. Un segundo problema (CVE-2014-1320) podría permitir a un usuario local leer punteros del kernel, lo que podría permitir saltar el ASLR (Address Space Layout Randomization) del kernel. Un tercer problema (CVE-2014-1295) podría permitir a un atacante capturar datos o cambiar las operaciones realizadas en sesiones protegidas con SSL.
Sistemas Operativos / Comentarios desactivados en Disponible IOS 7.1 (Corrige múltiples vulnerabilidades en versiones anteriores)
Además de mejoras en rendimiento a nivel general en terminales como iPhone 4 por citar un ejemplo y otras cuestiones de compatibilidad, esta versión de IOS, en concreto la 7.1 (os recomendamos actualizar con brevedad) viene a solventar una larga lista de vulnerabilidades que a continuación os detallamos vía la información del boletín de «Apple Security».
(Podéis actualizar desde iTunes o desde el propio dispositivo en ajustes – general -actualización de Software).
Fallos de seguridad corregidos:
Backup Available for: iPhone 4 and later, iPod touch (5th generation) and later, iPad 2 and later Impact: A maliciously crafted backup can alter the filesystem Description: A symbolic link in a backup would be restored, allowing subsequent operations during the restore to write to the rest of the filesystem. This issue was addressed by checking for symbolic links during the restore process. CVE-ID CVE-2013-5133 : evad3rs Certificate Trust Policy Available for: iPhone 4 and later, iPod touch (5th generation) and later, iPad 2 and later Impact: Root certificates have been updated Description: Several certificates were added to or removed from the list of system roots. Continue reading...
Sistemas Operativos / Comentarios desactivados en IOS 6.1.6 y 7.0.6 solventan vulnerabilidad en sesiones protegidas por SSL/TLS
Apple ha puesto a disposición de los usuarios dos actualizaciones en IOS para dispositivos iPhone 3GS – iPod Touch (cuarta generación), IOS 6.1.6, así como para iPhone 4, 5, 5C, 5S y para el iPod Touch de quinta generación IOS 7.0.6. Ambas actualizaciones solventan una vulnerabilidad que permitiría a un atacante con privilegios en una Red, modificar y capturar datos en sesiones protegidas por SSL/TLS.
Ambas actualizaciones pueden aplicarse vía iTunes o desde el dispositivo (Ajustes, General, «acerca de» y ya podréis ver la actualización).
Del mismo modo, está disponible la misma actualización para Apple TV (6.0.2).
Seguridad Informática, Sistemas Operativos / Comentarios desactivados en iOS 7.0.4 solventa una vulnerabilidad en App Store
Apple acaba de publicar una actualización para dispositivos IOS bajo el número de versión 7.0.4. Esta entrega de su sistema operativo, solventa un fallo de seguridad relacionado con las compras en la App Store.
Según la información que llega desde la lista «Apple Security», un usuario conectado con ID de Apple, puede ser capaz de completar una transacción sin proporcionar una contraseña cuando se le solicite. También recibe mejoras en FaceTime que por cierto, será lo único que veas cuando actualices «entre otras mejoras». Hay mucha disparidad entre la información que recibe el usuario y los boletines que manda Apple, no se entiende esa forma de querer evitar llamar a las cosas por su nombre, pero eso es otra historia.
La actualización está disponible vía iTunes o desde el propio dispositivo. Productos afectados: iPhone 4 o posteriores, iPod touch 5ª generación o posteriores e iPad 2 a posteriores
CVE-ID
CVE-2013-5193
Sistemas Operativos / Comentarios desactivados en Disponible iOS 7.0.2 (solventa los bugs con pantalla bloqueada – Passcode Lock)
Desde la lista de correo «Apple Security» nos llega el aviso del lanzamiento de una actualización de seguridad para dispositivos IOS, bajo la numeración «7.0.2». Se corrige el bug que permitía realizar llamadas saltándose el código de bloqueo a través de la función «llamada de emergencia» y varios intentos fallidos.
También otro que permitía acceder, editar y compartir fotografías o acceder a otros datos como las aplicaciones usadas recientemente. Os recomendamos actualizar con brevedad vía iTunes o desde el dispositivo (Ajustes – General ).
[Breves], Sistemas Operativos / Comentarios desactivados en [Breves] IOS 7 disponible (solventa 80 vulnerabilidades)
Desde la lista de correo «Apple Security» nos llega el aviso de la nueva versión de IOS (7). Más allá de las nuevas funcionalidades que incorpora el sistema operativo para dispositivos móviles y tablets de Apple, queremos reseñar que es una actualización de seguridad prioritaria debido al alto número de vulnerabilidades (sobre 80) que solventa en versiones anteriores de software.
Dicha actualización está disponible bien desde iTunes o desde el propio dispositivo (Menú ajustes, General y actualización de software).
A continuación, publicamos la lista completa de bugs y los CVE corregidos
Seguridad Informática / Comentarios desactivados en Guías de Seguridad del CCN – STIC para Android, iPhone e iPad
Nos hacemos eco a través del Twitter de Luis Delgado, de la publicación por parte del CNN-STIC, enmarcado en el ámbito de «Guías de seguridad en las TIC» (tecnologías de la información y comunicación), de la publicación en formato PDF de 3 guías para promover un uso seguro en dispositivos Android, iPhone e iPad (enlaces a las descargas).
Las 3 guías son muy completas y algún caso llegan a las 200 páginas. En ellas, intentan abarcar muchos de los problemas de seguridad más comunes en este tipo de dispositivos y cómo paliarlos. No está de más recordar que muchos atacantes ya buscan estos vectores de entrada, debido al alto uso de los mismos y un cierto desconocimiento general.
Seguridad Informática / Comentarios desactivados en [Breves] IOS 6.1.3 (Actualización de seguridad disponible)
Se ha publicado una actualización de seguridad por parte de Apple para dispositivos IOS con el número de versión 6.1.3. Dicho update, solventa entre otros un fallo de seguridad que permitía el acceso no autorizado a la aplicación «teléfono», sin tener que introducir el código de seguridad. Su tamaño es de 17.5 mb y se puede aplicar bien desde el propio dispositivo (menú «general-actualización de software) o a través de iTunes.
A continuación, nos hacemos eco de la información sobre todas las vulnerabilidades corregidas (webkit, kernel, etc) vía la lista de correo «Apple Security»
Seguridad Informática, Sistemas Operativos / Comentarios desactivados en La actualización 6.1 de IOS solventa 37 vulnerabilidades.
Dicha actualización de IOS (6.1) está disponible para iPhone 3GS y posteriores, iPad 2 y posteriores así como para iPod Touch de cuarta generación y posteriores.
Es más que recomendable instalar esta entrega del software, ya que solventa 37 vulnerabilidades (la mayor parte en su motor «webkit»), incluyendo la de los polémicos certificados «TURKTRUST«.
Este update, puede ser aplicado desde los propios dispositivos (Menú general – Actualización de Software), o bien conectados a un ordenador a través de iTunes. (También se ha publicado otra actualización para Apple TV – 5.2).
Seguridad Informática / Comentarios desactivados en Actualizaciones de seguridad Apple. IOS 6.0.1 y Safari 6.0.2
Apple acaba de liberar sendas actualizaciones para su sistema operativo IOS bajo la versión 6.0.1 y su navegador Safari como versión 6.0.2. En el caso de Safari se corrigen varios errores en OS X (webkit, Javascript, etc) que podrían llevar a la ejecución de código arbitrario en el sistema afectado bajo determinadas circunstancias visitando sitios web maliciosos preparados para tal fin.
En el caso de IOS, tal y como informan desde Apple se han solventado varios errores de seguridad preocupantes (bloqueo con código y posibles accesos no autorizados), mejoras en redes cifradas bajo WPA2, etc. A continuación os ofrecemos la información de la compañía sobre el update:
• Solución de un problema que impedía instalar actualizaciones de software de forma inalámbrica y remota en el iPhone 5
• Solución de un problema que provocaba que se mostraran líneas horizontales en el teclado
• Solución de un problema que causaba que el flash de la cámara no funcionase
• Mejora de la fiabilidad del iPhone 5 y del iPod touch (5.ª generación) al conectarlos a redes Wi-Fi WPA2 cifradas
• Solución de un problema que impedía que el iPhone utilizase la red móvil en determinados casos
• Integración de iTunes Match en las opciones del botón “Usar datos móviles”
• Solución de un problema de la función “Bloqueo con código” que hacía que en ciertas ocasiones se permitiera el acceso a los datos de las tarjetas de Passbook desde la pantalla de bloqueo
• Solución de un problema que afectaba a las reuniones de Exchange
En el caso de Safari (ENG), según la lista de correo se solventan los siguientes fallos:
Seguridad Informática / Comentarios desactivados en iOS 5.0.1 solventa múltiples vulnerabilidades en iPhone (3 GS, 4G y 4S) y en iPad 2
Según leemos en la lista de correo «Apple Security«, demás de solventar el comentado excesivo consumo de batería, gestos multi-táctiles en los iPad de primera generación y problemas con la sincronización de documentos en iCloud, esta actualización de IOS etiquetada como 5.0.1, corrige el bug del desbloqueo y la tapa del iPad2 CVE-2011-3440 , así como en CFNetwork CVE-2011-3246 (posible recopilación de información sensible visitando una web manipulada para tal fin),
También en CoreGraphics CVE-2011-3439 – FreeTipe (ejecución remota de código manejando o visionando una fuente manipulada), la posibilidad de interceptar datos sensibles o comprometer una conexión a través de certificados no confiables (DigiCert Malaysia), se solventa un bug en el Kernel reportado por Charlie Miller CVE-2011-3442 y una vulnerabilidad en libinfo CVE-2011-3441 que podría ser explotada caso de visitar una web maliciosa manipulada para esa finalidad..
Esta actualización está disponible a través de iTunes y por el nuevo método «OTA» (over the air) desde el propio dispositivo.
[Breves], Seguridad Informática / Comentarios desactivados en [Breves] Apple corrige múltiples vulnerabilidades en Mac OS X Lion, IOS, Safari, Pages, Apple TV y Numbers
Gran actualización de software y correcciones de seguridad por parte de Apple. Además de incluir para OS X Lion la actualización de seguridad 2011-006, se lanza la nueva versión 5 de IOS que además de incluir nuevas funcionalidades, corrige una larga lista de bugs en versiones anteriores.
También otros productos como el navegador Safari, Pages, Numbers y Apple TV reciben sendas actualizaciones de seguridad. Se recomienda a todos los usuarios actualizar a la mayor brevedad posible vía el menú «Actualización de Software» o desde iTunes.