Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/07/2011
Nova actualització d'iOS
Aquesta actualització fixa un problema amb la validació de certificatsMenys de dues setmanes després de tancar el forat que permetia l'últim mètode de desbloqueig publicat (Jailbreak.me), Apple ha anunciat noves versions del seu sistema operatiu per a dispositius mòbils.
Aquesta actualització de seguretat fixa un problema en la validació dels certificats X.509. El problema residia que, a pesar que totes les firmes de la cadena de certificació es comprovaven, no es realitzava una comprovació sobre si els emissors dels certificats intermedis estaven autoritzats a emetre certificats. Aquesta comprovació es realitza examinant el bit CA en la propietat "Basic Constraints".
Açò vol dir que qualsevol persona amb un certificat vàlid podria usar-lo per a crear altres certificats per a llocs com paypal.com o una altra entitat bancària, i iOS acceptaria aquest certificat com a vàlid.
Aquesta fallada ha sigut descoberta per Gregor Kopf de Recurity Labs, i Paul Kehrer de Trustwave SpiderLabs.
El problema que Apple resol ara no és nou. Fa al voltant de 9 anys, les aplicacions que usaven el paquet Microsoft CryptoAPI (com a Internet Explorer i Outlook, així com altres navegadors posteriors basats en Webkit), tenien una vulnerabilitat en la seua implementació de SSL que podia ser usat per a realitzar un atac d'home en el medi indetectable.
Sistemes Afectats:Dispositius iOS 4.X: iPad, iPod touch (3a i 4a generació), iPhone 4, iPhone 3GS
Referències:CVE-2011-0228
Solució:Apliqueu l'actualització corresponent mitjançant iTunes.
Notes:http://www.h-online.com/security/news/item/iOS-updates-fix-certificate-validation-vulnerability-update-1285524.html
http://support.apple.com/kb/HT4824
http://support.apple.com/kb/HT4825
http://secunia.com/advisories/45369/