Apple ha sacado un boletín de
seguridad corrigiendo múltiples fallos de iOS 12, el sistema operativo de
iPhone, entre ellos alguno que permite ejecutar código arbitrario
Revelación de información, elevación
de privilegios, falsificación de contenido... Éstas son algunos de los impactos
asociados a las vulnerabilidades que se abordan en el último boletín de Apple
para su sistema operativo iOS en su versión 12. Además de usarse en el
archiconocido iPhone, también está presente en la mayoría de los dispositivos
móviles de la marca como el iPad o el iPod touch. Esta vez, todas las
vulnerabilidades reportadas tienen un identificador CVE asociado. A
continuación, repasamos las vulnerabilidades contenidas en el boletín:
CVE-2018-4322
- Módulo: Accounts
- Impacto: Una aplicación puede
obtener un identificador persistente de una cuenta
- Solución: Mejora del sistema de
permisos
CVE-2018-5383
- Módulo: Bluetooth
- Impacto: Un atacante en una
posición privilegiada de la red puede interceptar tráfico
- Solución: Mejora de validación de
entradas
CVE-2018-4330
- Módulo: Core Bluetooth
- Impacto: Una aplicación puede
ejecutar código arbitrario con privilegios del sistema
- Solución: Mejora del manejo de
memoria para evitar su corrupción
CVE-2018-4356
- Módulo: CoreMedia
- Impacto: Una aplicación puede
obtener información sobre lo que ve la cámara antes de tener concedido el
acceso a ella
- Solución: Mejora de validación de
permisos
CVE-2018-4335
- Módulo: IOMobileFrameBuffer
- Impacto: Una aplicación puede
leer memoria restringida
- Solución: Mejora del saneamiento
de entradas
CVE-2018-4305
- Módulo: iTunes Store
- Impacto: Un atacante en una
posición privilegiada de la red puede falsear diálogos que piden
contraseñas
- Solución: Mejora de validación de
entradas
CVE-2018-4363
- Módulo: Kernel
- Impacto: Una aplicación puede
leer memoria restringida
- Solución: Mejora del validación
de entradas en el kernel
CVE-2018-4313
- Módulo: Messages
- Impacto: Un usuario local puede
descubrir mensajes borrados de un usuario
- Solución: Mejora en el borrado de
mensajes
CVE-2018-4352
- Módulo: Notes
- Impacto: Un usuario local puede
descubrir notas borradas de un usuario
- Solución: Mejora en el borrado de
notas
CVE-2018-4313
- Módulo: Safari
- Impacto: Un usuario local puede
descubrir páginas web de un usuario
- Solución: Mejora en el manejo de
snapshots de aplicaciones
CVE-2018-4329
- Módulo: Safari
- Impacto: El borrado de elementos
del historial de navegación no es completo
- Solución: Mejora en el borrado de
elementos, que contempla redirecciones
CVE-2018-4307
- Módulo: Safari
- Impacto: Una web maliciosa puede
extraer información del autocompletado
- Solución: Mejora en la gestión de
estados lógicos
CVE-2018-4362
- Módulo: SafariViewController
- Impacto: Una web maliciosa puede
modificar el contenido de la barra de direcciones
- Solución: Mejora en en la gestión
de estados de la interfaz de usuario
CVE-2016-1777
- Módulo: Security
- Impacto: Un atacante puede
explotar debilidades del algoritmo criptográfico RC4
- Solución: Eliminación del
algoritmo RC4
CVE-2016-4325
- Módulo: Status Bar
- Impacto: Una persona con acceso
físico al dispositivo puede determinar la última aplicación usada con la
pantalla bloqueada
- Solución: Mejora de restricciones
CVE-2018-4338
- Módulo: Wi-Fi
- Impacto: Una aplicación puede
leer memoria restringida
- Solución: Mejora del saneamiento de
entradas.
- Todas las vulnerabilidades han
sido corregidas por Apple en la última versión disponible de iOS 12.
Más
información:
·
Apple
security update - HT209106 https://support.apple.com/en-us/HT209106
Fuente: Hispasec
