Dos
meses después de publicar iOS 7.1.1, Apple ha liberado la versión 7.1.2 de iOS,
su sistema operativo para dispositivos móviles. Dicha versión, además de
incluir diferentes mejoras, contiene la solución
a 42 vulnerabilidades, algunas de ellas podrían permitir ejecutar código
arbitrario.
Una vulnerabilidad ya conocida es
la referente al cifrado de los adjuntos de los correos que quedaban sin cifrar
y accesibles para un atacante, que
ya comentamos en una-al-dia anteriormente. Este problema (CVE-2014-1348) hacía
referencia a la protección pensada para en caso de que un atacante tenga acceso
(o sustraiga) a un dispositivo no pueda acceder, no ya solo a sus funciones,
sino que tampoco pueda conseguir los datos almacenados. Sin embargo esta
funcionalidad dejaba los documentos adjuntos de los mensajes de correo
electrónico sin cifrar.
Por otra parte también se ha
mejorado la conectividad y estabilidad de iBeacon. Adicionalmente se ha solucionado
un problema que afectaba a la transferencia de datos en algunos accesorios de
otros fabricantes, entre ellos escáneres de códigos de barras.
Esta versión incluye una actualización de la lista de certificados.
Otro problema relacionado con CoreGraphics podría permitir la ejecución de código
arbitrario al visualizar archivos XBM específicamente creados (CVE-2014-1354). Diversos
desbordamientos de buffer y de entero en launchd que también podrían permitir
la ejecución de código arbitrario.
Una vulnerabilidad en Lockdown podría
permitir a un atacante con acceso al dispositivo evitar el código de bloqueo (CVE-2014-1360)
y problemas en la pantalla de bloqueo que permitirían exceder el máximo de
intentos para introducir la contraseña (CVE-2014-1352) o acceder a la aplicación
en segundo plano antes del bloqueo (CVE-2014-135). Oro problema permitía
desactivar la función de "Buscar mi iPhone" sin introducir la
contraseña de iCloud (CVE-2014-1350).
Se ha solucionado una ejecución
de código arbitrario al visitar una página web específicamente creada con
Safari (CVE-2014-1349) y un fallo en Siri permitía acceder a todos los
contactos sin desbloquear el dispositivo (CVE-2014-1351). Otros problemas
afectan al kernel (CVE-2014-1355), Secure Transport (CVE-2014-1361) y 30 vulnerabilidades
en WebKit.
Esta nueva versión está
disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y
posteriores e iPod a partir de 5ª generación. La actualización está disponible
a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización
de software).
Más información:
una-al-dia (21/04/2014) Apple
publica IOS 7.1.1 y soluciona 19 vulnerabilidades
una-al-dia (05/05/2014)
Vulnerabilidad permite el acceso a los adjuntos de los correos en iOS 7.1.1
iOS 7: List
of available trusted root certificates
APPLE-SA-2014-06-30-3 iOS 7.1.2
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario