Ir al contenido principal

Apple corrige dos saltos de restricciones en iOS 7

De

 

 Apple corrige dos saltos de restricciones en iOS 7

Después de la publicación de iOS 7 el pasado día 18, Apple se ha apresurado a lanzar una nueva versión (la 7.0.2) que corrige dos nuevas vulnerabilidades.
Ambas están relacionadas con el código de desbloqueo de los dispositivos. La primera de ellas, con CVE-2013-5160 permite que cualquier persona con acceso al dispositivo pueda realizar llamadas sin conocer el código de desbloqueo del mismo. Esto ocurre en iPhone 4 y posteriores debido a un error conocido como puntero de deferencia nula. Estando en la pantalla de llamada de emergencia, se teclea el número al que se desea llamar y posteriormente se pulsa repetidas veces el número de llamada. El dispositivo se reiniciará y llamará al número marcado.
La segunda vulnerabilidad con CVE-2013-5161 también afectaría a los iPhone 4 y posteriores, además de los iPod touch y los iPad 2 y posteriores. Se podría tener acceso a la lista de aplicaciones, a las últimas llamadas realizadas, además de poder acceder a la aplicación de la cámara y ver/editar las fotos realizadas con esta.
La nueva actualización ya está disponible en los dispositivos a través del menú Ajustes -> General -> Actualización software.
Más información:
APPLE-SA-2013-09-26-1
http://support.apple.com/kb/HT5957

Fuente:
http://unaaldia.hispasec.com/2013/09/apple-corrige-dos-saltos-de.html

Nuevas actualizaciones, y como es de costumbre Apple no dice mucho sobre "que" es lo que en realidad corrigen o "que tan graves son"

Buscando un poco encontramos esta información:
iOS 7.0.2

Passcode Lock
Available for: iPhone 4 and later

Impact: A person with physical access to the device may be able to make calls to any number

Description: A NULL dereference existed in the lock screen which would cause it to restart if the emergency call button was tapped repeatedly. While the lock screen was restarting, the call dialer could not get the lock screen state and assumed the device was unlocked, and so allowed non-emergency numbers to be dialed. This issue was addressed by avoiding the NULL dereference.

CVE-2013-5160 : Karam Daoud of PART - Marketing & Business Development, Andrew Chung, Mariusz Rysz

Passcode Lock

Available for: iPhone 4 and later, iPod touch (5th generation) and later, iPad 2 and later

Impact: A person with physical access to the device may be able to see recently used apps, see, edit, and share photos
Description: The list of apps you opened could be accessed during some transitions while the device was locked, and the Camera app could be opened while the device was locked.


CVE-2013-5161 : videosdebarraquito

Al menos CVE-2013-5160 esta categorizado como "bajo"
La referencia completa se encuentra aqui
http://xforce.iss.net/xforce/xfdb/87502

CVE-2013-5161
http://xforce.iss.net/xforce/xfdb/87503

Bueno, no olviden actualizar que se les llena la manzana de gusanos
¡Saludos!
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Qué es la ejecución de código arbitrario?

De
En informática , el término código arbitrario hace referencia a código muy largo que no será interpretado por una aplicación o sistema operativo sino que provocará un desbordamiento de búfer de esa aplicación o sistema operativo lo que hará que el trozo desbordado sea interpretado y/o ejecutado por el sistema bajo unas condiciones más favorables. Es utilizado para realizar ataques. Otra forma más simple de definirlo es que la ejecución de código arbitrario es: Una forma fácil en la que un atacante puede ejecutar "comandos" tan sencillo como pensar en que alguien a distancia esta tecleando comandos que pueden ser desde un inocente mkdir "para hacer directorio" hasta un rm "borrar directorio" o abrir puertos etc para troyanizar el equipo "mantener el acceso". Lo que también es conocido como remote code execution .
Publicar un comentario
Leer más

Chiste del día

De
Chistes que Windows solía contarme :) lo bueno que ahora uso GNU/Linux Para los más y menos entendidos del temita, les sacara una risa
Publicar un comentario
Leer más

Programación Visual con Node-Red: Conectando el Internet de las Cosas con Facilidad

De
Programación Visual con Node-Red: Conectando el Internet de las Cosas con Facilidad ¿Te has imaginado como sería tener al alcance de tus dedos el poder de revisar cuanta comida tienes en el refrigerador? ¿Encender y apagar las luces de tu casa? En fin controlar cualquier aspecto de tu casa desde la comodidad de tu teléfono es posible y es un concepto que cada día cobra más fuerza se llama "El internet de las cosas" pero como nosotros somos entusiastas de la tecnología no solo nos interesa ser usuarios sino también creadores.  ¿Te gustaría saber un poquito mas sobre esta tecnología?  en este artículo te cuento como programar de forma visual con Node-Red: A través de la programación, hacemos que las máquinas imiten un comportamiento complejo siguiendo secuencias de instrucciones simples. Utilizar lenguajes de programación textual como Asambly, C, Python y JavaScript, es una de las formas principales de hacerlo. Los diseñadores de estos lenguajes de programación
Publicar un comentario
Leer más