CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/02/2014

Vulnerabilidad crítica en SSL/TLS en productos Apple

Se ha detectado un error de implementación en la capa de transporte seguro del sistema de gestión de TLS/SSL en varios productos Apple, lo que supone un fallo de validación en la autenticación de las conexiones.

Riesgo: Crítico

Apple ha informado de un fallo de seguridad que podría provocar que un atacante intercepte, lea y modifique comunicaciones cifradas como emails, tweets, accesos a páginas web, etc.

El fallo se debe a un problema en la librería de gestión de TLS/SSL, donde se ha detectado una línea con la llamada "goto fail", que hace que fallos en la verificación de la autenticidad de las comunicaciones pasen inadvertidos al usuario.

Sistemas Afectados:

Todos los dispositivos móviles de Apple, incluyendo iPhone, iPad e iPhone Touch.
Apple TV.
Apple Mac OS X.

Referencias:

CVE-2014-1266

Solución:

Las versiones de iOS 7.0.6 e iOS 6.1.6 corrigen el problema en los dispositivos móviles iPhone, iPod Touch e iPad.

La versión 6.0.2 de Apple TV corrige el problema en esta plataforma.

Se ha publicado la versión 10.9.2 de OS X que, además de aportar nuevas mejoras y funcionalidad, elimina este fallo.

Notas:

INTECO-CERT
About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001

About the security content of iOS 7.0.6 update
About the security content of iOS 6.1.6 update
About the security content of Apple TV 6.0.2 update

Fuente: Inteco-CERT

CSIRT-CV