CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

22/09/2014

Actualització massiva de productes Apple: iOS, VOS X, Safari i Apple TV

Apple acaba de publicar actualitzacions per a gran part dels seus productes. Com a gran novetat destaca iOS 8, la nova versió del sistema operatiu per als seus dispositius mòbils (iPhone, iPad, iPod… ). Però a més ha publicat les següents versions actualitzades OS X Server 2.2.3, OS X Server 3.2.1, Safari 6.2, Safari 7.1, OS X Mavericks 10.9.5 i Security Update 2014-004, Xcode 6.0.1 i Apple TV 7.

Risc: Alt

Donada la gran quantitat de novetats i productes actualitzats, realitzarem un breu repàs de les actualitzacions publicades i problemes solucionats.

iOS 8 és la nova versió del sistema operatiu d’Apple per als seus productes mòbils (iPad, iPhone, iPod…) que a més d’incloure centenars de novetats i millores (també en temes relacionats amb la seguretat) a més soluciona 56 noves vulnerabilitats. Els problemes corregits van des del mateix nucli fins als comptes d’usuari, WiFi, llibre d’adreces, instal·lació d’Apps, Bluetooth, CoreGraphins, Mail, etc… Una part important dels problemes podrien permetre a un atacant aconseguir executar codi arbitrari en els sistemes afectats.

També cal destacar les actualitzacions per a OS X que inclouen les versions OS Server 2.2.3, OS X Server 3.2.1 i OS X Mavericks 10.9.5. La família de servidors es veuen afectats per vulnerabilitats en CoreCollaboration. Tant OS X Server 2.2.3 com OS X Server3.2.1 solucionen una injecció SQL en el servidor Wiki; a més OS X Server 3.2.1 soluciona un cross-site scripting en el servidor Xcode i set vulnerabilitats en PostgreSQL, la més greu d’estes podria permetre l’execució remota de codi arbitrari.

D’altra banda, també ha publicat OS X Mavericks v10.9.5 i Security Update 2014-004, destinat a corregir fins 44 noves vulnerabilitats. Afecten apache_mod_php, Bluetooth, CoreGraphics, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, Libnotify, OpenSSL, QT Media Foundation i ruby. Una part important d’estos problemes podrien permetre l’execució remota de codi arbitrari. A més OS X Mavericks v10.9.5 inclou la nova versió Safari 7.0.6.

Les actualitzacions també han arribat a Safari, el popular navegador web d’Apple, que s’actualitza a las versiones 6.2 i 7.1 per a OS X Mountain Lion v10.8.5 i OS X Mavericks v10.9.5. Se solucionen 9 vulnerabilitats, la majoria d’elles relacionades amb problemes de corrupció de memòria en WebKit, el motor de navegador de codi obert que és la base de Safari. I podrien ser aprofitades per un atacant remot per a provocar condicions de denegació de servici o executar codi arbitrari al visitar una pàgina web específicament creada.

Finalment, Apple també ha publicat Apple TV 7 que soluciona 37 noves vulnerabilitats i Xcode 6.0.1, l’entorn de desenrotllament d’Apple, que corregix una vulnerabilitat en subversió.

Sistemes Afectats: Referències:

None

Solució:

Es recomana actualitzar el més prompte possible qualsevol dispositiu d’Apple que dispose de qualsevol dels operatius o aplicacions detallades per mitjà dels repositoris oficials d’Apple o el mateix assistent d’actualitzacions del dispositiu.

Notes:

iOS 8

http://support.apple.com/kb/DL1758

About the security content of iOS 8

http://support.apple.com/kb/HT6441

About the security content of OS X Server v2.2.3

http://support.apple.com/kb/HT6449

About the security content of OS X Server v3.2.1

http://support.apple.com/kb/HT6448

About the security content of Safari 6.2 and Safari 7.1

http://support.apple.com/kb/HT6440

About the security content of OS X Mavericks v10.9.5 and Security Update 2014-004

http://support.apple.com/kb/HT6443

About the security content of Apple TV 7

http://support.apple.com/kb/HT6442

About the security content of Xcode 6.0.1

http://support.apple.com/kb/HT6444

Font: Hispasec una-al-día

CSIRT-CV