Menú principal

martes, 26 de julio de 2011

Apple saca iOS 4.3.5 para parchear un grave bug SSL/TLS

Ayer lunes, Apple sacó una nueva versión del sistema operativo de iPhone, iPad e iPod Touch: iOS. Esta nueva versión, iOS 4.3.5, se ha sacado para solucionar un grave fallo de seguridad en la cadena de validación de certificados digitales, que podría llevar a un atacante a conseguir interceptar tráfico cifrado TLS/SSL mediante un esquema man in the middle.


El bug, catalogado con el CVE-2011-0228 y con crédito a los investigadores Gregor Kopf de Recurity Labs en nombre de BSI, y Paul Kehrer de Trustwave's SpiderLabs, parece estar en la cadena de validación de los certificados digitales de las conexiones.

Apple no ha hecho pública más información, pero parece ser que un atacante podría conseguir, con un certificado digital falso, pero supuestamente generado por alguna entidad intermedia, que el sistema operativo lo tome por un certificado legítimo, consiguiendo el atacante acceder a todo el tráfico transmitido por esa conexión cifrada.

Para los terminales iPhone 4 CDMA, la actualización de seguridad tiene el nombre de iOS 4.2.10, y también está disponible para la instalación.

¿Y los equipos con Jailbreak?

Pues los equipos que tengan realizado un proceso de jailbreak se encuentran ante una delicada situación en este momento. Mientras que no aparezca una nueva vulnerabilidad que permita realizar jailbreak con iOS 4.3.5 los equipos que no actualicen se encontrarán con una grave vulnerabilidad sin parchear, ya que este parche no se encuentra disponible nada más que en el software distribuido por Apple.

Es probable que los equipos iPhone, iPod Touch e iPad de primera generación puedan actualizar a ella y realizar un untethered jailbreak aprovechando el bug del BootRom limera1n, pero los equipos con iPad 2 que hicieron uso de JailbreakMe 3.0 y quedaron seguros, si actualizan lo perderán de momento, con lo que tendrán que elegir entre estar seguro o tener el jailbreak. Como ya publicamos, hacer jailbreak tiene ventajas, pero también inconvenientes.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares