Hace unos días Apple publicó un boletín de seguridad donde corregía la friolera de 58 vulnerabilidades nuevas dispuestas cada una a tocarte el Iphone de la mejor manera que sepan. Así que aquí os dejo el extracto de Un Al Día un poco mas ordenado para que podáis localizar fácilmente si vuestro smartphone es vulnerable o no.
- Ejecución de código a través de 'WebKit' (del CVE-2015-1068 hasta CVE-2015-1083 y del CVE-2015-1119 hasta CVE-2015-1124), 'CFURL' (CVE-2015-1088), 'FontParser' (CVE-2015-1093), 'IOHIDFamily' (CVE-2015-1095), e 'iWork Viewer' (CVE-2015-1098). Además los fallos relacionados con los drivers de audio (CVE-2015-1086) y el Kernel (CVE-2015-1101), permitirían la ejecución de código arbitrario con permisos de 'system'.
- Salto de restricciones o medidas de seguridad a través del sistema de copias de seguridad (CVE-2015-1087), 'CFNetwork' (CVE-2015-1089 y CVE-2015-1091), Kernel (CVE-2015-1103 y CVE-2015-1104), 'Keyboards' (CVE-2015-1106), 'Lock Screen' (CVE-2015-1107 y CVE-2015-1108), 'Safari' (CVE-2015-1111 y CVE-2015-1112), 'Telephony' (CVE-2015-1115) y 'WebKit' (CVE-2015-1125 y CVE-2015-1126). Como nota destacar los errores relacionados con la pantalla de bloqueo ya que uno de ellos evitaría que el dispositivo eliminase su contenido al superarse los intentos de desbloqueo (de encontrarse activa dicha opción) mientras que el otro aumentaría de forma indefinida la restricción del número máximo de intentos de desbloqueo permitidos.
- Elevación de privilegios a través del Kernel (CVE-2015-1117).
- Diez errores de seguridad permitirían revelar información sensible a través de 'AppleKeyStore' (CVE-2015-1085), 'Foundation' (CVE-2015-1092), 'IOAcceleratorFamily' (CVE-2015-1094), 'IOHIDFamily' (CVE-2015-1096), 'IOMobileFramebuffer' (CVE-2015-1097), 'NetworkExtension' (CVE-2015-1109), 'Podcasts' (CVE-2015-1110), 'Sandbox Profiles' (CVE-2015-1113 y CVE-2015-1114) y 'UIKit View' (CVE-2015-1116).
- Varias denegaciones de servicio relacionadas con el Kernel (CVE-2015-1099, CVE-2015-1100, CVE-2015-1102 y CVE-2015-1105) y con la configuración de los perfiles por parte de 'libnetcore' (CVE-2015-1118).
- Una suplantación de URLs (CVE-2015-1084) en 'WebKit' permitiría hacer creer a la víctima que se encuentra en otra dirección al visitar un sitio web.
- Una vulnerabilidad en 'CFNetwork' podría afectar a la integridad del dispositivo y eliminar completamente el historial de navegación (CVE-2015-1090).
Productos afectados:
- Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación
Solución:
- La actualización ya está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Más información y fuentes:
- https://support.apple.com/en-us/HT204661
- http://unaaldia.hispasec.com/2015/04/la-actualizacion-83-de-apple-ios.html
Sed Buenos ;)
No hay comentarios:
Publicar un comentario