Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/07/2011
Nueva actualización de iOS
Esta actualización fija un problema con la validación de certificadosMenos de dos semanas después de cerrar el agujero que permitía el último método de desbloqueo publicado (Jailbreak.me), Apple ha anunciado nuevas versiones de su sistema operativo para dispositivos móviles.
Esta actualización de seguridad fija un problema en la validación de los certificados X.509. El problema residía en que, a pesar de que todas las firmas de la cadena de certificación se comprobaban, no se realizaba una comprobación sobre si los emisores de los certificados intermedios estaban autorizados a emitir certificados. Esta comprobación se realiza examinando el bit CA en la propiedad "Basic Constraints".
Esto quiere decir que cualquier persona con un certificado válido podría usarlo apra crear otros certificados para sitios como paypal.com u otra entidad bancaria, e iOS aceptaría dicho certificado como válido.
Este fallo ha sido descubierto por Gregor Kopf de Recurity Labs, y Paul Kehrer de Trustwave SpiderLabs.
El problema que Apple resuelve ahora no es nuevo. Hace alrededor de 9 años, las aplicaciones que usaban el paquete Microsoft CryptoAPI (como Internet Explorer y Outlook, así como otros navegadores posteriores basados en Webkit), tenían una vulnerabilidad en su implementación de SSL que podía ser usado para realizar un ataque de hombre en el medio indetectable.
Dispositivos iOS 4.x: iPad, iPod touch (3ª y 4ª generación), iPhone 4, iPhone 3GS
Referencias:CVE-2011-0228
Solución:Aplicar la actualización correspondiente mediante iTunes.
Notas:http://www.h-online.com/security/news/item/iOS-updates-fix-certificate-validation-vulnerability-update-1285524.html
http://support.apple.com/kb/HT4824
http://support.apple.com/kb/HT4825
http://secunia.com/advisories/45369/