Menú principal

lunes, 18 de abril de 2011

¿Qué trae la actualización de iOS 4.3.2 e iOS 4.2.7?

El jueves 14 de Abril Apple liberó la rumoreada versión de la actualización de iOS 4.3.2 para su gama de dispositivos con este sistema operativo. Esta actualización, al lanzarse en horario americano y sin información previa a los medios, siempre acaba por pillar a todo el mundo casi por sorpresa y sin mucho tiempo para reaccionar. Más, cuando en horario Europeo es casi la madrugada del 15 de Abril, comienzo para muchos de las merecidas vacaciones de Semana Santa. La pregunta es... ¿qué trae esta actualización, es importante instalarla? Vamos a analizarlo, pero ya te vamos avanzado que si estás dando un uso profesional a los dispositivos de Apple, ya deberías tenerla instalada, y si no, vete abriendo iTunes.


Actualizaciones disponibles

En primer lugar han salido dos actualizaciones. La primera es la versión iOS 4.3.2, que está para todos los terminales iPhone 4G, 3GS, iPad, iPad 2, iPod Touch 3G e iPod Touch 4G. Como ya sucedió con iOS 4.3, los terminales iPhone 3G e iPhone 2G se quedan fuera de los parches de seguridad. La segunda versión de iOS que ha aparecido es una rama especial, denominada iOS 4.2.7, que está especialmente sacada para los terminales iPhone 4G con Verizon, es decir, los modelos CDMA, así que, si no tienes este modelo, no tienes que preocuparte por ella.

¿Qué corrigen estas actualizaciones?

Esta versión tiene 5 cosas importante que debes saber, para que apliques con conciencia la actualización.

PRIMERA: Fallos de funcionalidad y estabilidad en FaceTime y la conectividad 3G. Si has notado problemas de conectividad en redes 3G esta nueva versión los corrige. Al mismo tiempo, solventa un fallo bastante curioso con el programa FaceTime que, sin saber porque, se confundía a la hora de mostrar las fotos y sacaba fotos antiguas de forma aleatoria en comunicaciones.

SEGUNDA: Fallos de seguridad. Como toda actualización - o casi todas - trae consigo una corrección de fallos de seguridad que pueden afectar seriamente al sistema operativo. En este caso se corrigen 4 CVE que han sido reportados por lo más florido y granado de la seguridad en Apple. Charlie Miller, Vicenzo Lozzo, Chris Evans, Willem Pickaers, Ralf-Philipp Weinmann, Martin Barbella y el equipo de seguridad de VUPEN aparecen en los créditos de los CVE reconocidos por Apple en el expediente de seguridad de esta actualización [HT4606]:

CVE-2011-0195 : Chris Evans of Google Chrome Security Team
CVE-2011-1417 : Charlie Miller and Dion Blazakis working with TippingPoint's Zero Day Initiative
CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, and an anonymous researcher working with TippingPoint's Zero Day Initiative
CVE-2011-1344 : Vupen Security working with TippingPoint's Zero Day Initiative, and Martin Barbella.

TERCERA: Lista negra de certificados digitales falsos de Comodo. Si no lo sabes aún, y te enteres por este post, deberías revisar tus lecturas de noticias de seguridad. La versión reducida es que un hacker Iraní consiguió generar certificados falsos de sitios como Gmail, Live, etcétera firmados por la entidad certificadora Comodo. Esto le permitía hacer ataques Man in the Middle en conexiones Http-s a estos sitios sin generar ninguna alerta de seguridad en el cliente, y acceder a correos electrónicos, contraseñas, etcétera. Estos certificados fueron revocados por la entidad Comodo cuando se descubrió, pero había que notificar esta revocación a los clientes, para que generaran mensajes de error que avisaran a los usuarios. Las alternativas eran 3:

1) Que los clientes descarguen la Lista de Certificados Revocados (CRL) de las entidades: Normalmente no es utilizada esta opción por lo pesadas de estas listas, así que casi nadie gestiona y descarga listas CRLs.

2) Utilizar el protocolo OCSP de validación en línea para saber si un certificado está o no revocado: El problema de esta opción es que, si la víctima está bajo un ataque de Man in the Middle, al atacante le basta con no dejarle consultar el servidor o devolverle un valor 3 de "Try Later".  Esto lo explicó Chema Alonso en su blog.

3) Actualizar el repositorio de listas negras de certificados en una actualización de seguridad. Esto lo hizo primero Microsoft, luego le siguieron Debian y las distribuciones Linux, y ahora es Apple quien está haciendo esto.

CUARTA: La última cosa que debes saber es, que si actualizas a esta versión, Apple ha cerrado muchos de los bugs que utilizaba la comunidad de jailbreakers para hacer los untethered jailbreaks. De esto informaba MuscleNerd en un twitt y tienes más información desde la Comunidad Dragonjar en este tutorial de cómo hacer jaiblreak a día de hoy. Aún así, aunque se parchee el sistema operativo y no puedas tener un untethered jailbreak, es posible tener una liberación tethered, es decir, que se debe realizar en cada arranque del dispositivo, que es quizá la menos cómoda, pero más segura opción para ahora mismo.

QUINTA: La última cosa que tienes que tener muy presente es, que si quieres seguir desarrollando aplicaciones para iOS 4.3.2, necesitas actualizar XCode a la versión 4.0.2.

¿Actualizar o no Actualizar?

En definitiva, nuestra opinión es que si usas el dispositivo de forma profesional te actualices cuanto antes, y que si lo quieres tener seguro con jailbreak valores tenerlo con tethered jailbreak de momento. En cualquier caso, actualizar es camino, pero si valoras otras cosas... que estés informado de los riegos.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares