Video: La GRAN FALLA de Apple y su plan malévolo con iPhone 😡📱 (Noviembre 2024)
Apple corrigió una serie de vulnerabilidades graves en OS X, el navegador web Safari y un puñado de paquetes de terceros como parte de una actualización sustancial. Los parches están disponibles en Actualización de software y los usuarios deben asegurarse de que las correcciones se apliquen de inmediato.
Las actualizaciones, que afectan a todas las versiones compatibles de OS X – Mountain Lion (10.8), Lion (10.7) y Snow Leopard (10.6) –y cerraron varias fallas de ejecución remota de código en el sistema operativo y Safari, dijo Apple en su aviso publicado ayer.. Los parches también abordaron problemas en QuickTimes y la implementación de OS X de OpenSSL y Ruby. Los errores de Ruby están siendo explotados actualmente en la naturaleza.
Recientemente se han identificado múltiples vulnerabilidades en Ruby on Rails, la más grave de las cuales puede provocar que los atacantes ejecuten código de forma remota en sistemas que ejecutan aplicaciones Rails. Apple corrigió ocho vulnerabilidades distintas al actualizar Ruby on Rails en OS X a la versión 2.3.18. Es probable que este problema afecte los sistemas OS X Lion o OS X Mountain Lion que se actualizaron desde Mac OS X 10.6.8 o anterior, dijo Apple.
OS X Fixes
Apple corrigió varios errores de ejecución remota de código en el sistema operativo. Los atacantes podrían explotar uno de esos defectos en el componente CoreAnimation, donde todo lo que el usuario tiene que hacer es buscar una URL maliciosamente creada para verse comprometido. Apple dijo que otro error en el componente de reproducción podría explotarse con un archivo de película creado con fines malintencionados. Hay cuatro parches diferentes para QuickTime que corrigen fallas de ejecución remota de código que podrían explotarse con MP3, FPX, QTIF y otros archivos de película creados con fines malintencionados.
Otro error grave de ejecución remota de código estaba en el componente del servicio de directorio, pero solo afectaba a los usuarios con sistemas Snow Leopard que habían habilitado el servicio. El servicio de directorio rastrea toda la información de autenticación de usuarios y grupos usando varias plataformas, incluyendo Active Directory, LDAP, AppleTalk y SMB para compartir archivos. Apple reemplazó Diectory Service con Open Directory en Lion y Mountaion Lion.
Los atacantes podrían explotar la falla enviando un mensaje creado de manera maliciosa a través de la red para causar que el servidor de directorio se bloquee o ejecute código de forma remota, dijo Apple.
OpenSSL, Problemas de Safari
Apple solucionó 13 problemas en OpenSSL, uno de los cuales permitiría a los atacantes lanzar el ataque CRIME, donde un atacante podría descifrar las sesiones protegidas por SSL. El ataque de compresión en TLS 1.0 fue desarrollado por los investigadores de seguridad Thai Duong y Juliano Rizzo.
El nuevo Safari, versión 6.0.5, corrigió 23 vulnerabilidades distintas de ejecución remota de código y tres fallas de secuencias de comandos entre sitios. Todos los problemas estaban relacionados con el motor WebKit que alimenta el navegador.
"Existían múltiples problemas de corrupción de memoria en WebKit", dijo Apple en su aviso.
Estos problemas exponen a los usuarios de Mac a ataques de infección por navegación, y los atacantes podrían ejecutar código fuera del navegador y directamente en el sistema sin necesidad de autorización del usuario. Los errores de secuencias de comandos entre sitios también permiten a los atacantes crear sitios maliciosos que contienen elementos de páginas legítimas para engañar a los usuarios y hacerles creer que estos sitios falsificados son confiables.
Obtenga esa actualización
Los usuarios que usan la Actualización de software de Apple obtienen la actualización correcta automáticamente. Los usuarios que decidan hacerlo manualmente deberán obtener la actualización de OS X 10.8.4 (que incluye Safari 6.0.5) para Mountaion Lion y la Actualización de seguridad 2013-002 (que no incluye la actualización de Safari) para Snow Leopard y Lion sistemas. Tenga en cuenta que Snow Leopard no obtiene la nueva versión de Safari, ya que todavía está en Safari 5.
