Apple soluciona greus desperfectes dels quals no coneixeu a Os x

Apple va solucionar diverses vulnerabilitats greus a l’OX X, al navegador web Safari i a un grapat de paquets de tercers com a part d’una actualització substancial. Els pegats estan disponibles a l'actualització de programari i els usuaris han d'assegurar-se que les correccions s'apliquen immediatament.

Les actualitzacions, que afecten totes les versions compatibles amb OS X – Mountain Lion (10.8), Lion (10.7) i Snow Leopard (10.6) - i van tancar diversos defectes d’execució de codi remot en el sistema operatiu i Safari, va dir Apple en el seu assessorament publicat ahir.. Els pegats també van tractar problemes en QuickTimes i en la implementació del sistema OS X d'OpenSSL i Ruby. Actualment s’estan explotant els insectes Ruby en estat salvatge.

Recentment s'han identificat múltiples vulnerabilitats a Ruby on Rails, la més greu de les quals pot resultar en atacants executant codi de forma remota en sistemes que executin aplicacions Rails. Apple va abordar vuit vulnerabilitats diferents actualitzant Ruby on Rails a OS X a la versió 2.3.18. Probablement, aquest problema afectarà els sistemes OS X Lion o OS X Mountain Lion que es van actualitzar des de Mac OS X 10.6.8 o anteriors, va dir Apple.

Correccions del sistema operatiu X

Apple ha corregit diversos errors d’execució de codi remot al sistema operatiu. Els atacants podrien explotar un d'aquests defectes en el component CoreAnimation, on tot l'usuari ha de fer és navegar cap a un URL elaborat malament per tal de posar-se en perill. Apple va dir que un altre error del component de reproducció es podria explotar amb un fitxer de pel·lícula dissenyat maliciosament. Hi ha quatre pedaços diferents per solucionar els defectes d'execució de codi remot de QuickTime, que podrien ser explotats per fitxers MP3, FPX, QTIF i altres pel·lícules malintencionats.

Un altre error greu d’execució del codi remot es trobava al component del servei de directori, però només afectava els usuaris amb sistemes Leopard de neu que han habilitat el servei. El Servei de Directori rastreja tota la informació d’autenticació d’usuaris i grups mitjançant diverses plataformes, com ara l’ús compartit de fitxers Active Directory, LDAP, AppleTalk i SMB. Apple va substituir el servei de visualització per Open Directory a Lion i Mountaion Lion.

Els atacants podrien explotar el defecte enviant un missatge malintencionat a la xarxa per provocar que el servidor de directoris s’estavellés o executés el codi de forma remota, va dir Apple.

Problemes OpenSSL, Safari

Apple va solucionar 13 problemes a OpenSSL, un dels quals permetria als atacants llançar l'atac CRIME, on un atacant podia desxifrar les sessions protegides amb SSL. L’atac de compressió a TLS 1.0 va ser desenvolupat per investigadors de seguretat Thai Duong i Juliano Rizzo.

El nou Safari, versió 6.0.5, va arreglar 23 vulnerabilitats d’execució de codi remota diferents i tres defectes d’escriptura entre llocs. Els problemes estaven relacionats amb el motor WebKit que alimenta el navegador.

"A WebKit hi havia diversos problemes de corrupció de memòria", va dir Apple a la seva notificació.

Aquests problemes exposen els usuaris de Mac a atacs de navegació per infecció i els atacants podrien executar codi fora del navegador i directament al sistema sense necessitat de l’autorització de l’usuari. Els errors d'escriptura de llocs web també permeten als atacants crear llocs malintencionats que continguin elements des de pàgines legítimes per enganyar als usuaris perquè pensin que aquests llocs no afectats són de confiança.

Obteniu l'actualització

Els usuaris que utilitzen l'actualització de programari d'Apple reben l'actualització correcta automàticament. Els usuaris que decideixin fer-ho manualment hauran d’agafar l’actualització d’OS X 10.8.4 (que inclou Safari 6.0.5) per a Mountaion Lion i Security Update 2013-002 (que no inclou l’actualització de Safari) per a Snow Leopard i Lion sistemes. Tingueu en compte que Snow Leopard no obté la nova versió de Safari ja que es troba a Safari 5.