int(6198)

Boletines de Vulnerabilidades


Actualización 5.1 de iOS

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado iPhone 3GS
iPhone 4
iPhone 4S
iPod Touch (3a generación) i posteriores.
iPad
iPad 2

Descripción

Apple ha publicado una actualitzación de iOS que resuelve un gran número de vulnerabilidades. Las más graves permiten que una aplicación evite el sandbox, que se ejecute código malicioso al visitar una página web o acceder a un dispositivo bloqueado.

La nueva versión de este sistema operativo para dispositivos de Apple soluciona las siguientes vulnerabilidades en los siguientes componentes:

- CFNetwork: pueden enviarse cabeceras imprevistas en petición a URLs malformadas.
- HFS: montar una imagen de disco modificada puede permitir el reinicio del dispositivo o la ejecución de código arbitrario.
- Kernel: un error en el manejo de llamadas al sistema de depuración, puede permitir a programas maliciosos evitar la sandbox.
- libresolv: una vulnerabilidad de desbordamiento de entero en esta librería, en el manejo de los registro DNS que puede permitir la ejecución de código arbitrario.
- Passcode Lock: una condición de carrera permite evitar el bloqueo de la pantalla.
- Safari: vulnerabilidad permite guardar URLs en el histórico aunque la navegación privada esté activa.
- Siri: una vulnerabilidad permite acceder, en un dispositivo bloqueado, a los mensajes de correo electrónico.
- VPN: una vulnerabilidad de formato de cadena puede permitir la ejecución de código arbitrario.
- WebKit:
a) Vulnerabilidades de tipo cross-origin permiten la revelación de cookies.
B) Vulnerabilidades XSS.
C) Múltiples vulnerabilidades de corrupción de memoria pueden permitir la ejecución de código malicioso al visitar una página web.

Solución

La nueva versión se instala automáticamente a través de iTunes. El proceso de instalación automática de actualizaciones se ejecuta semanalmente, pero se puede forzar su ejecución a través del botón «Check for Updates» en iTunes.

Por otro lado, para comprobar si el dispositivo se encuentra actualizado se pueden seguir los siguientes pasos:

- Vaya a «Configuración».
- Seleccione «General».
- Seleccione «Acerca de». La versión después de aplicar esta actualización debe de ser 5.1 (9B176).

Identificadores estándar

Propiedad Valor
CVE CVE-2012-0641, CVE-2012-0642, CVE-2012-0643, CVE-2011-3453, CVE-2012-0644, CVE-2012-0585, CVE-2012-0645, CVE-2012-0646, CVE-2011-3887, CVE-2012-0590, CVE-2011-3881, CVE-2012-0586, CVE-2012-0587, CVE-2012-0588, CVE-2012-0589, CVE-2011-2825, CVE-2011-2833, CVE-2011-2846, CVE-2011-2847, CVE-2011-2854, CVE-2011-2855, CVE-2011-2857, CVE-2011-2860, CVE-2011-2867, CVE-2011-2868, CVE-2011-2869, CVE-2011-2870, CVE-2011-2871, CVE-2011-2872, CVE-2011-2873, CVE-2011-2877, CVE-2011-3885, CVE-2011-3888, CVE-2011-3897, CVE-2011-3908, CVE-2011-3909, CVE-2011-3928, CVE-2012-0591, CVE-2012-0592, CVE-2012-0593, CVE-2012-0594, CVE-2012-0595, CVE-2012-0596, CVE-2012-0597, CVE-2012-0598, CVE-2012-0599, CVE-2012-0600, CVE-2012-0601, CVE-2012-0602, CVE-2012-0603, CVE-2012-0604, CVE-2012-0605, CVE-2012-0606, CVE-2012-0607, CVE-2012-0608, CVE-2012-0609, CVE-2012-0610, CVE-2012-0611, CVE-2012-0612, CVE-2012-0613, CVE-2012-0614, CVE-2012-0615, CVE-2012-0616, CVE-2012-0617, CVE-2012-0618, CVE-2012-0619, CVE-2012-0620, CVE-2012-0621, CVE-2012-0622, CVE-2012-0623, CVE-2012-0624, CVE-2012-0625, CVE-2012-0626, CVE-2012-0627, CVE-2012-0628, CVE-2012-0629, CVE-2012-0630, CVE-2012-0631, CVE-2012-0632, CVE-2012-0633, CVE-2012-0635
BID

Recursos adicionales

iOS 5.1 Software Update APPLE-SA-2012-03-07-2
http://support.apple.com/kb/HT5192

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-03-11

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT