jueves, 9 de abril de 2015

La actualización 8.3 de Apple iOS soluciona casi 60 vulnerabilidades

Apple ha liberado la versión 8.3 de iOs, su sistema operativo para dispositivos móviles (iPad, iPhone e iPod). Esta nueva versión contiene correcciones para 58 vulnerabilidades de diversa índole.

Los problemas corregidos abarcan los identificadores desde el CVE-2015-1068 hasta CVE-2015-1126. Son los siguientes: 
  • Ejecución de código a través de 'WebKit' (del CVE-2015-1068 hasta CVE-2015-1083 y del CVE-2015-1119 hasta CVE-2015-1124), 'CFURL' (CVE-2015-1088), 'FontParser' (CVE-2015-1093), 'IOHIDFamily' (CVE-2015-1095), e 'iWork Viewer' (CVE-2015-1098). Además los fallos relacionados con los drivers de audio (CVE-2015-1086) y el Kernel (CVE-2015-1101), permitirían la ejecución de código arbitrario con permisos de 'system'.
         
  • Salto de restricciones o medidas de seguridad a través del sistema de copias de seguridad (CVE-2015-1087), 'CFNetwork' (CVE-2015-1089 y CVE-2015-1091), Kernel (CVE-2015-1103 y CVE-2015-1104), 'Keyboards' (CVE-2015-1106), 'Lock Screen' (CVE-2015-1107 y CVE-2015-1108), 'Safari' (CVE-2015-1111 y CVE-2015-1112), 'Telephony' (CVE-2015-1115) y 'WebKit' (CVE-2015-1125 y CVE-2015-1126). Como nota destacar los errores relacionados con la pantalla de bloqueo ya que uno de ellos evitaría que el dispositivo eliminase su contenido al superarse los intentos de desbloqueo (de encontrarse activa dicha opción) mientras que el otro aumentaría de forma indefinida la restricción del número máximo de intentos de desbloqueo permitidos.
        
  • Elevación de privilegios a través del Kernel (CVE-2015-1117).
        
  • Diez errores de seguridad permitirían revelar información sensible a través de 'AppleKeyStore' (CVE-2015-1085), 'Foundation' (CVE-2015-1092), 'IOAcceleratorFamily' (CVE-2015-1094), 'IOHIDFamily' (CVE-2015-1096), 'IOMobileFramebuffer' (CVE-2015-1097), 'NetworkExtension' (CVE-2015-1109), 'Podcasts' (CVE-2015-1110), 'Sandbox Profiles' (CVE-2015-1113 y CVE-2015-1114) y 'UIKit View' (CVE-2015-1116).
         
  • Varias denegaciones de servicio relacionadas con el Kernel (CVE-2015-1099, CVE-2015-1100, CVE-2015-1102 y CVE-2015-1105) y con la configuración de los perfiles por parte de 'libnetcore' (CVE-2015-1118).
         
  • Una suplantación de URLs (CVE-2015-1084) en 'WebKit' permitiría hacer creer a la víctima que se encuentra en otra dirección al visitar un sitio web.
         
  • Una vulnerabilidad en 'CFNetwork' podría afectar a la integridad del dispositivo y eliminar completamente el historial de navegación (CVE-2015-1090).


Además Apple ha actualizado la lista de certificados raíz de confianza instalados en los dispositivos.

Esta nueva versión de iOS está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
  
Más información:

About the security content of iOS 8.3
https://support.apple.com/en-us/HT204661

List of available trusted root certificates in iOS 8
https://support.apple.com/kb/HT204132


Juan José Ruiz
jruiz@hispasec.com

Etiquetas: ,

3 comentarios:

  1. Paula Amarilla10 de abril de 2015, 11:21

    Gracias por la información! Saludos

    ResponderEliminar
    Respuestas
    1. Anónimo11 de abril de 2015, 2:26

      El enlace amarillito este ya lo he visto en algún otro lado. ¡Propaganda! Y bendito rel='nofollow'.

      Eliminar
    2. Anónimo11 de abril de 2015, 7:18

      Les da igual el nofollow. Siempre hay alguien que pincha en el enlace y les sirve para engordar y falsear estadísticas.

      Eliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017