Apple se revolucionó y el pasado día 12 de Octubre ha actualizado muchas aplicaciones. El Apple TV, que es un producto que en España no termina de despegar como en otros países, también ha sido también parcheado y por el número de arreglos parece que lo necesitaba.
La nueva versión disponible de Apple TV es la 4.4.1 - ya que la versión 4.4 fue parcheada debido a que en algunos dispositivos se exigia la conexión a iTunes para terminar el proceso de instalación - y presenta los siguientes parches:
- Los certificados falso emitidos por DigiNotar son anulados en esta versión. Se resuelve eliminando los certificados de DigiNotar de la lista de certificados de confianza, también de la lista de los de validación extendida y cambiando la configuración por defecto para que los certificados DigiNotar no sean de confianza.
- CVE-2011-3427. Los certificados firmados usando el algoritmo MD5 fueron aceptadas por iOS. Este algoritmo ha sido comprometido con debilidades criptográficas. Una autoridad de certificación mal configurada podría haber permitido la creación de estos certificados con valores controlados por el atacante. Esta actualización desactiva el soporte para utilizar un certificado X.509 con un hash MD5.
- CVE-2011-3389. TLSv1 y SSLv3 se admiten en iOS. Estas versiones están sujetos a una debilidad cuando se utiliza el protocolo cifrado por bloques. Con un ataque Man In The Middle, MiTM, podría inyectar datos no válidos, haciendo que la conexión se cierre o que revele datos. Este problema se soluciona añadiendo soporte para TLSv1.2.
- CVE-2011-0192. La visualización de una imagen TIFF creada de manera malintencionada puede provocar la finalización inesperada de la aplicación o ejecución de código arbitrario. Ocurre algo similar con la CVE-2011-0241.
- CVE-2011-3259. El kernel no puede recuperarse de manera ágil de las conexiones TCP incompletas en memoria. Un intruso con habilidad podría realizar un ataque DOS contra el protocolo TCP.
- CVE-2011-0216. Desbordamiento de pila en el manejo de datos XML con libxml.
- CVE-2011-3232. Corrupción de memoria en JavaScriptCore. Un atacante podría ejecutar código remoto o hacer finalizar la aplicación de manera inesperada.
Es altamente recomendable a todos los usuarios de Apple TV que actualicen cuanto antes para aplicar todos los parches de seguridad a las distintas vulnerabilidades expuestas en el presente artículo.
No hay comentarios:
Publicar un comentario