Apple ha liberado la versión IOS 7.1.1 de su sistema operativo para
dispositivos móviles. Dicha versión, además de incluir nuevas funcionalidades y
mejoras, contiene 19parches a vulnerabilidades, algunas de ellas podrían
permitir ejecutar código arbitrario.
Las mejoras incluidas incluyen
la implementación de más mejoras en el sistema de reconocimiento de huellas
digitales TouchID, la solución de un problema que afectaba a la capacidad de
respuesta de los teclados y la corrección de un problema relacionado con el uso
de teclados Bluetooth con VoiceOver activado.
Recursos afectados
- Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación.
- El primero de los problemas corregidos de CVE-2014-1296, reside en el tratamiento de las cabeceras http set-cookie que podría permitir a un atacante obtener el valor de la cookie.
- El segundo problema con CVE-2014-1320, podría permitir a un usuario local leer punteros del kernel, lo que podría permitir saltar el ASLR (Address Space Layout Randomization) del kernel.
- La tercera vulnerabilidad de CVE-2014-1295, podría permitir a un atacante capturar datos o cambiar las operaciones realizadas en sesiones protegidas con SSL.
- Los 16 problemas restantes residen en WebKit y podrían permitir la ejecución de código arbitrario si un usuario visita una página web maliciosa.
- La actualización se encuentra disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
- APPLE-SA-2014-04-22-2 iOS 7.1.1 http://seclists.org/bugtraq/2014/Apr/135