Apple publicó una serie de actualizaciones para varios de sus productos, entre los que destacan OS X, iOS y Safari, encontrándose también nuevas versiones para sus programas Numbers, Pages, iTunes y Apple TV.
La actualización de OS X a la versión 10.7.2 soluciona 75 vulnerabilidades, la mayoría de ellas permiten la ejecución de código arbitrario, además de denegaciones de servicio y elevaciones de privilegios. Muchas de las vulnerabilidades son causadas por software de tercetos, como BIND, PHP, python, X11... Otras, sin embargo, pertenecen a software de Apple, entre ellas encontramos las siguientes:
* Una falla en File Vault deja al descubierto 250 MB de los datos previamente cifrados por la aplicación, al no borrarlos tras la activación del mismo. La falla se ha arreglado borrando el área no cifrada tras la activación de File Vault. (CVE-2011-3212)
* Una persona con acceso físico a la máquina vulnerable puede desbloquear un equipo puesto en suspensión que se encontrase ejecutando Cinema Display. La contraseña necesaria para el desbloqueo y la recuperación de la suspensión del equipo no es requerida en caso de que se encontrase habilitado el modo 'display sleep'. (CVE-2011-3214)
* Una falla conocida desde el mes de julio, permite la obtención de contraseñas de usuarios a través del puerto Firewire durante el proceso de arranque y apagado. (CVE-2011-3215)
* Tres vulnerabilidades en Open Directory permiten la obtención de hashes de las contraseñas de los usuarios, la modificación de las claves sin que fuese necesario el conocimiento de las antiguas, y el acceso a servidores LDAP asociados a Open Directory sin que se requiriese la contraseña (CVE-2011-3435, CVE-2011-3436, CVE-2011-3226)
Otro cambio introducido en esta serie de actualizaciones, es el que hace que los archivos Disk Image (.dmg) y los paquetes de instalación (.pkg) no sean considerados seguros, por lo que no serán ejecutados de manera automática.
De las 98 vulnerabilidades en iOS cabe destacar el envío del AppleID cifrado por parte de las aplicaciones, la revocación de los certificados de DigiNotar o el arreglo de 69 fallas de WebKit. Además se ha añadido soporte para TLS 1.2 en las conexiones cifradas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4736
La actualización de OS X a la versión 10.7.2 soluciona 75 vulnerabilidades, la mayoría de ellas permiten la ejecución de código arbitrario, además de denegaciones de servicio y elevaciones de privilegios. Muchas de las vulnerabilidades son causadas por software de tercetos, como BIND, PHP, python, X11... Otras, sin embargo, pertenecen a software de Apple, entre ellas encontramos las siguientes:
* Una falla en File Vault deja al descubierto 250 MB de los datos previamente cifrados por la aplicación, al no borrarlos tras la activación del mismo. La falla se ha arreglado borrando el área no cifrada tras la activación de File Vault. (CVE-2011-3212)
* Una persona con acceso físico a la máquina vulnerable puede desbloquear un equipo puesto en suspensión que se encontrase ejecutando Cinema Display. La contraseña necesaria para el desbloqueo y la recuperación de la suspensión del equipo no es requerida en caso de que se encontrase habilitado el modo 'display sleep'. (CVE-2011-3214)
* Una falla conocida desde el mes de julio, permite la obtención de contraseñas de usuarios a través del puerto Firewire durante el proceso de arranque y apagado. (CVE-2011-3215)
* Tres vulnerabilidades en Open Directory permiten la obtención de hashes de las contraseñas de los usuarios, la modificación de las claves sin que fuese necesario el conocimiento de las antiguas, y el acceso a servidores LDAP asociados a Open Directory sin que se requiriese la contraseña (CVE-2011-3435, CVE-2011-3436, CVE-2011-3226)
Otro cambio introducido en esta serie de actualizaciones, es el que hace que los archivos Disk Image (.dmg) y los paquetes de instalación (.pkg) no sean considerados seguros, por lo que no serán ejecutados de manera automática.
De las 98 vulnerabilidades en iOS cabe destacar el envío del AppleID cifrado por parte de las aplicaciones, la revocación de los certificados de DigiNotar o el arreglo de 69 fallas de WebKit. Además se ha añadido soporte para TLS 1.2 en las conexiones cifradas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4736
No hay comentarios:
Publicar un comentario