Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/07/2014
Apple publica iOS 7.1.2 i soluciona 42 vulnerabilitats
Dos mesos després de publicar iOS 7.1.1, Apple ha alliberat la versió 7.1.2 d’iOS, el seu sistema operatiu per a dispositius mòbils. La dita versió, a més d’incloure diferents millores, conté la solució a 42 vulnerabilitats, algunes d’elles podrien permetre executar codi arbitrari.Una vulnerabilitat ja coneguda és la referent al xifrat dels adjunts dels correus que quedaven sense xifrar i accessibles per a un atacant, que ja comentàrem en una-al-dia anteriorment. Este problema (CVE-2014-1348) feia referència a la protecció pensada per a en el cas que un atacant tinga accés (o sostraga) a un dispositiu no puga accedir, no ja només a les seues funcions, sinó que tampoc no puga aconseguir les dades emmagatzemades. No obstant això esta funcionalitat deixava els documents adjunts dels missatges de correu electrònic sense xifrar.
D’altra banda també s’ha millorat la connectivitat i estabilitat d’iBeacon. Addicionalment s’ha solucionat un problema que afectava la transferència de dades en alguns accessoris d’altres fabricants, entre ells escàners de codis de barres.
Esta versió inclou una actualització de la llista de certificats. Un altre problema relacionat amb CoreGraphics podria permetre l’execució de codi arbitrari al visualitzar arxius XBM específicament creats (CVE-2014-1354). Diversos desbordaments de buffer i de sencer en launchd que també podrien permetre l’execució de codi arbitrari.
Una vulnerabilitat en Lockdown podria permetre a un atacant amb accés al dispositiu evitar el codi de bloqueig (CVE-2014-1360) i problemes en la pantalla de bloqueig que permetrien excedir el màxim d’intents per a introduir la contrasenya (CVE-2014-1352) o accedir a l’aplicació en segon pla abans del bloqueig (CVE-2014-1353). Un altre problema permetia desactivar la funció de "Buscar mon iPhone" sense introduir la contrasenya d’iCloud (CVE-2014-1350).
S’ha solucionat una execució de codi arbitrari al visitar una pàgina web específicament creada amb Safari (CVE-2014-1349) i una fallada en Siri permetia accedir a tots els contactes sense desbloquejar el dispositiu (CVE-2014-1351). Altres problemes afecten el nucli (CVE-2014-1355), Secure Transport (CVE-2014-1361) i 30 vulnerabilitats en WebKit.
Sistemes Afectats:
Dispositius Apple iPhone 4 i posteriors, iPad 2 i posteriors i iPod a partir de 5a generació.
Referències:CVE-2014-1348, CVE-2014-1349, CVE-2014-1350, CVE-2014-1351, CVE-2014-1352, CVE-2014-1353, CVE-2014-1354, CVE-2014-1355, CVE-2014-1360, CVE-2014-1361
Solució:L’actualització està disponible a través d’iTunes o del propi dispositiu ( en Ajustos General/Actualització de programari ).
Notes:una-al-dia (21/04/2014) Apple publica IOS 7.1.1 y soluciona 19 vulnerabilidades
una-al-dia (05/05/2014) Vulnerabilidad permite el acceso a los adjuntos de los correos en iOS 7.1.1
iOS 7: List of available trusted root certificates
APPLE-SA-2014-06-30-3 iOS 7.1.2
About the security content of iOS 7.1.2