Foxit Reader y FreeType, afectados por la vulnerabilidad que está permitiendo el jailbreak del iPhone


Jailbreakme.com apareció hace algunas semanas como el método más sencillo y efectivo hasta el momento de realizar un "jailbreak" del iPhone, equipado con la última versión de su sistema operativo. La "liberación" se llevaba a cabo explotando una vulnerabilidad desconocida hasta el momento y que se ha descubierto que afecta a otros programas muy populares.





Realizar un "jailbreak" en iPhone consiste en aprovechar un fallo en el sistema para conseguir ejecutar programas no firmados criptográficamente por Apple. Así, los usuarios encuentran un buen puñado de aplicaciones de todo tipo, no oficiales, que aumentan las posibilidades del teléfono mucho más allá de lo que le gustaría a la propia Apple.

Jailbreakme.com apareció sin previo aviso aprovechando dos vulnerabilidades: por un lado, un fallo en cómo el sistema operativo del iPhone procesa las fuentes CFF (Compact Font Format) incrustadas en un fichero PDF. Por otro, un fallo en el kernel del iPhone. Con esto se conseguía instalar una aplicación no firmada (Cydia) que gestiona a su vez la instalación y mantenimiento de otros muchos paquetes (programas). El iPhone no utiliza lectores PDF de terceros, sino que gestiona este formato con software propio.

Una vez hechos públicos los detalles sobre el fallo, los creadores de Foxit Reader y FreeType se han dado cuenta de que también se ven afectados, y ya han publicado sus respectivas actualizaciones. Curiosamente el lector de PDF de Adobe no es vulnerable.

Parece que Apple corregirá estos fallos esta misma semana. Por ahora, no se han visto ataques contra el iPhone aprovechando estos fallos. En cualquier caso, se recomienda mientras se corrige, por ejemplo, utilizar Opera para iPhone en vez de Safari. El navegador Opera pregunta antes de abrir un PDF, por tanto, da al oportunidad al usuario de negar un potencial archivo que pretenda aprovechar la vulnerabilidad. El navegador Safari, por el contrario, intenta gestionarlo sin preguntar y así el fallo puede ser aprovechado con solo visitar un enlace.

Más Información:

Fixed the crash issue caused by the new iPhone/iPad jailbreak program.
http://www.foxitsoftware.com/pdf/reader/security_bulletins.php#iphone

Important: freetype security update
https://rhn.redhat.com/errata/RHSA-2010-0607.html

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Software libre, ciudadanía virtuosa y democracia
En 2006, Yochai Benkler y Helen Nissenbaum publicaron en la revista The Journal of Political Philosophy el artículo Commons-based Peer Production and Virtue (BENKLER y NISSENBAUM: 2006), donde se planteaban la virtud y el procomún producido mediant...
La falacia de la seguridad en la red
¿Cuántas veces nos dicen que la red es insegura y que para hacerla más segura habría que rediseñarla? Montones de veces, pero la verdad es que eso es una falacia. Como todas las mentiras, se reducen a polvo si las analizamos....
Descarga Firefox 3
Mozilla, la comunidad global dedicada a construir productos y tecnologías libres y de código abierto, acaba de publicar la versión definitiva de Firefox 3, una importante actualización del popular y gratuito navegador de código abierto. ...
Firefox 3.0.10 corrige una vulnerabilidad introducida con la actualización anterior
Una semana después de publicar la 3.0.9 que corregía un buen puñado de vulnerabilidades, Mozilla saca a la luz la versión 3.0.10 de su navegador Firefox. Esta soluciona un fallo de seguridad crítico introducido por una de las actualizaciones ant...
Cuidado con compartir nuestras URLs de Google
Philipp Lessen nos explica en este post de su blog un caso en el que, compartiendo la URL de un servicio de Google cuando estamos registrados con nuestra cuenta de usuario, cualquiera puede hacerse pasar por nosotros, puesto que se puede reg...
Primer beta de mandrake 9.0, aun sin confirmar
Aun no está confirmado, pero parece que ya está disponible el primer beta de Mandrake Linux 9.0. ...
Denegación de servicio en Microsoft Windows
Se ha identificado una vulnerabilidad en Microsoft Windows, que puede ser explotada por usuarios maliciosos para provocar condiciones de denegación de servicio....
Surgen dos nuevos malware para Mac
La empresa de seguridad Sophos ha encontrado un gusano y un troyano desarrollados específicamente para el sistema operativo de Apple....
Expresiones Regulares
Una Expresión Regular (regexp) es conocida también como patrón, es una expresión que describe un grupo de cadenas sin enumerar sus elementos. Usualmente representando otro grupo de caracteres mayor, de esta forma podemos comparar el patrón con o...
Crean un ordenador capaz de detectar la "intención" y de anticiparse a la voluntad
Aunque de momento sólo se ha probado con monos, será de gran ayuda para las personas paralíticas. El ordenador ya no sólo es capaz obedecer a los pensamientos, sino que puede también descubrir la intención y de predecir los movimientos corporal...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • afectados
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • foxit
  • freebsd
  • freetype
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • iphone
  • isos
  • jailbreak
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • permitiendo
  • pgp
  • php
  • reader
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra