Apple publica OS X Mavericks v10.9 de forma gratuita y corrige varias vulnerabilidades

Apple ha publicado la primera actualización gratuita para su sistema

operativo OS X bajo el nombre de Mavericks. La nueva versión introduce
varias soluciones a fallos de seguridad. Además, se han lanzado varios
boletines de seguridad para otros productos entre ellos iOS 7 y Safari
6.1.

La “keynote” de ayer dejo una buena noticia para los usuarios de Apple.
La última versión de OS X, de nombre Mavericks, se publicaba durante el
mismo día de su presentación y se distribuiría de forma gratuita. Una
opción que sigue la evolución lógica de su política de actualizaciones,
que han ido bajando de precio durante los últimos años.

Además de las hasta 200 novedades incluidas en la nueva versión, Apple
ha solucionado un total de 48 vulnerabilidades en el sistema operativo.
La mayoría de los fallos solucionados se encuentra en el kernel del
sistema (10), aunque una gran parte de ellos tienen un impacto de perfil
bajo, contando con denegaciones de servicio y revelaciones de
información. De todas ellas, la vulnerabilidad de mayor importancia se
refiere a una ejecución de código arbitrario debida a un fallo en el
manejo de argumentos en la API posix_spawn. Otros componentes que han
recibido actualizaciones son python (5), tanto en sus versiones 2.6 como
2.7.

Se ha corregido la vulnerabilidad CVE-2011-3389 presente en el
componente CFNetwork SSL, que hacía posible un ataque BEAST al incluir
TLS 1.0. Se deja de soportar también certificados X.509 firmados usando
MD5 (CVE-2011-3427) para aquellos que no se utilicen como certificado
raíz de confianza.

Además, Mavericks corrige hasta 21 vulnerabilidades en Safari a través
de la versión 7 del navegador, que incorpora de serie. De las que 20 se
localizan en el motor Webkit. La mayoría de ellas dan lugar a una
denegación de servicio, con posibilidad de la ejecución de código
arbitrario, de forma remota a través de un sitio web especialmente
diseñado. El resto podrían permitir ataques tipo cross-site scripting, o
revelación de información. Para versiones de OS X anteriores, se estos
fallos se corrigen en la versión 6.1 del navegador.

Entre el resto de actualizaciones publicadas se encuentra la versión
7.0.3 de su sistema operativo móvil iOS. Esta nueva versión corrige tres
vulnerabilidades, todas ellas relacionadas con fallos en la pantalla de
bloqueo y de petición de “passcode”. Un atacante con acceso físico al
dispositivo podría realizar llamadas (CVE-2013-5144), acceder al panel
de contactos (CVE-2013-5164) o saltar el bloqueo temporal del teléfono
tras superar el número de intentos fallidos (CVE-2013-5162).

También se corrige una vulnerabilidad en el software para presentaciones
Keynote que permitía el desbloqueo de la pantalla si el equipo se puso
en modo suspensión durante el modo de presentación. Por último, también
se ha actualizado el sistema OS X Server a su versión 3.0, en la que se
corrigen siete vulnerabilidades. Cinco de ellas están relacionadas con
fallos en Ruby on Rails y la gema JSON de Ruby en el componente Profile
Manager, pudiendo el más serio de ellos dar lugar a un ataque cross-site
scripting. De las otras dos, la más grave es la localizada en
FreeRADIUS(CVE-2012-3547) que podría permitir la ejecución de código
arbitrario debido a un fallo al procesar el certificado de cliente.

OS X Mavericks v10.9, al igual que el resto de actualizaciones, está
disponible a través de Mac App Store, las actualizaciones de software y
el centro de descargas de Apple.

 Fuente