CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/02/2014

Vulnerabilitat crítica en SSL/TLS en productes Apple

S’ha detectat una errada d’aplicació en la capa de transport segur del sistema de gestió de TLS/SSL en diversos productes Apple, que comporta un fallada de validació en l’autenticació de les connexions.

Risc: Crític

Apple ha informat d’una errada de seguretat que podria provocar que un atacant intercepte, llija i modifique comunicacions xifrades com ara adreces electròniques, piulades, accessos a pàgines web, etc.

La fallada es deu a un problema en la llibreria de gestió de TLS/SSL, on s’ha detectat una línia amb la crida "goto fail", que fa que fallades en la verificació de l’autenticitat de les comunicacions passen inadvertides a l’usuari.

 

Sistemes Afectats:

Tots els dispositius iPhone d’Apple, incloent-hi l'iPhone, l'iPad i l'iPhone Touch.
Apple TV
Apple Mac OS X

Referències:

CVE-2014-1266

Solució:

Les versions d’iOS 7.0.6 i 6.1.6 corregixen el problema en els dispositius mòbils iPhone, iPod Touch i iPad.

La versió 6.0.2 d’Apple TV corregix el problema en esta plataforma.

S’ha publicat la versió 10.9.2 d’OS X que, a més d’aportar noves millores i funcionalitat, elimina esta fallada.

 

Notes:

INTECO-CERT
About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001

About the security content of iOS 7.0.6 update
About the security content of iOS 6.1.6 update
About the security content of Apple TV 6.0.2 update

Font: Inteco-CERT

CSIRT-CV