Apple ha sacado un boletín de seguridad corrigiendo múltiples fallos de iOS 12, el sistema operativo de iPhone, entre ellos alguno que permite ejecutar código arbitrario
Revelación de información, elevación de privilegios, falsificación de contenido… í‰stas son algunos de los impactos asociados a las vulnerabilidades que se abordan en el último boletín de Apple para su sistema operativo iOS en su versión 12. Además de usarse en el archiconocido iPhone, también está presente en la mayoría de los dispositivos móviles de la marca como el iPad o el iPod touch. Esta vez, todas las vulnerabilidades reportadas tienen un identificador CVE asociado. A continuación, repasamos las vulnerabilidades contenidas en el boletín:
CVE-2018-4322
Módulo: Accounts
Impacto: Una aplicación puede obtener un identificador persistente de una cuenta
Solución: Mejora del sistema de permisos
CVE-2018-5383
Módulo: Bluetooth
Impacto: Un atacante en una posición privilegiada de la red puede interceptar tráfico
Solución: Mejora de validación de entradas
CVE-2018-4330
Módulo: Core Bluetooth
Impacto: Una aplicación puede ejecutar código arbitrario con privilegios del sistema
Solución: Mejora del manejo de memoria para evitar su corrupción
CVE-2018-4356
Módulo: CoreMedia
Impacto: Una aplicación puede obtener información sobre lo que ve la cámara antes de tener concedido el acceso a ella
Solución: Mejora de validación de permisos
CVE-2018-4335
Módulo: IOMobileFrameBuffer
Impacto: Una aplicación puede leer memoria restringida
Solución: Mejora del saneamiento de entradas
CVE-2018-4305
Módulo: iTunes Store
Impacto: Un atacante en una posición privilegiada de la red puede falsear diálogos que piden contraseñas
Solución: Mejora de validación de entradas
CVE-2018-4363
Módulo: Kernel
Impacto: Una aplicación puede leer memoria restringida
Solución: Mejora del validación de entradas en el kernel
CVE-2018-4313
Módulo: Messages
Impacto: Un usuario local puede descubrir mensajes borrados de un usuario
Solución: Mejora en el borrado de mensajes
CVE-2018-4352
Módulo: Notes
Impacto: Un usuario local puede descubrir notas borradas de un usuario
Solución: Mejora en el borrado de notas
CVE-2018-4313
Módulo: Safari
Impacto: Un usuario local puede descubrir páginas web de un usuario
Solución: Mejora en el manejo de snapshots de aplicaciones
CVE-2018-4329
Módulo: Safari
Impacto: El borrado de elementos del historial de navegación no es completo
Solución: Mejora en el borrado de elementos, que contempla redirecciones
CVE-2018-4307
Módulo: Safari
Impacto: Una web maliciosa puede extraer información del autocompletado
Solución: Mejora en la gestión de estados lógicos
CVE-2018-4362
Módulo: SafariViewController
Impacto: Una web maliciosa puede modificar el contenido de la barra de direcciones
Solución: Mejora en en la gestión de estados de la interfaz de usuario
CVE-2016-1777
Módulo: Security
Impacto: Un atacante puede explotar debilidades del algoritmo criptográfico RC4
Solución: Eliminación del algoritmo RC4
CVE-2016-4325
Módulo: Status Bar
Impacto: Una persona con acceso físico al dispositivo puede determinar la última aplicación usada con la pantalla bloqueada
Solución: Mejora de restricciones
CVE-2018-4338
Módulo: Wi-Fi
Impacto: Una aplicación puede leer memoria restringida
Solución: Mejora del saneamiento de entradas.
Todas las vulnerabilidades han sido corregidas por Apple en la última versión disponible de iOS 12.
Fuente: hispasec.com