Cabecera-v2-web.jpg

Múltiples vulnerabilidades corregidas en Apple iOS 12


Apple ha sacado un boletí­n de seguridad corrigiendo múltiples fallos de iOS 12, el sistema operativo de iPhone, entre ellos alguno que permite ejecutar código arbitrario

knowledge_graph_logo.png

Revelación de información, elevación de privilegios, falsificación de contenido... í‰stas son algunos de los impactos asociados a las vulnerabilidades que se abordan en el último boletí­n de Apple para su sistema operativo iOS en su versión 12. Además de usarse en el archiconocido iPhone, también está presente en la mayorí­a de los dispositivos móviles de la marca como el iPad o el iPod touch. Esta vez, todas las vulnerabilidades reportadas tienen un identificador CVE asociado. A continuación, repasamos las vulnerabilidades contenidas en el boletí­n:


CVE-2018-4322
Módulo: Accounts
Impacto: Una aplicación puede obtener un identificador persistente de una cuenta
Solución: Mejora del sistema de permisos


CVE-2018-5383
Módulo: Bluetooth
Impacto: Un atacante en una posición privilegiada de la red puede interceptar tráfico
Solución: Mejora de validación de entradas


CVE-2018-4330
Módulo: Core Bluetooth
Impacto: Una aplicación puede ejecutar código arbitrario con privilegios del sistema
Solución: Mejora del manejo de memoria para evitar su corrupción


CVE-2018-4356
Módulo: CoreMedia
Impacto: Una aplicación puede obtener información sobre lo que ve la cámara antes de tener concedido el acceso a ella
Solución: Mejora de validación de permisos


CVE-2018-4335
Módulo: IOMobileFrameBuffer
Impacto: Una aplicación puede leer memoria restringida
Solución: Mejora del saneamiento de entradas


CVE-2018-4305
Módulo: iTunes Store
Impacto: Un atacante en una posición privilegiada de la red puede falsear diálogos que piden contraseñas
Solución: Mejora de validación de entradas


CVE-2018-4363
Módulo: Kernel
Impacto: Una aplicación puede leer memoria restringida
Solución: Mejora del validación de entradas en el kernel


CVE-2018-4313
Módulo: Messages
Impacto: Un usuario local puede descubrir mensajes borrados de un usuario
Solución: Mejora en el borrado de mensajes


CVE-2018-4352
Módulo: Notes
Impacto: Un usuario local puede descubrir notas borradas de un usuario
Solución: Mejora en el borrado de notas


CVE-2018-4313
Módulo: Safari
Impacto: Un usuario local puede descubrir páginas web de un usuario
Solución: Mejora en el manejo de snapshots de aplicaciones


CVE-2018-4329
Módulo: Safari
Impacto: El borrado de elementos del historial de navegación no es completo
Solución: Mejora en el borrado de elementos, que contempla redirecciones


CVE-2018-4307
Módulo: Safari
Impacto: Una web maliciosa puede extraer información del autocompletado
Solución: Mejora en la gestión de estados lógicos


CVE-2018-4362
Módulo: SafariViewController
Impacto: Una web maliciosa puede modificar el contenido de la barra de direcciones
Solución: Mejora en en la gestión de estados de la interfaz de usuario


CVE-2016-1777
Módulo: Security
Impacto: Un atacante puede explotar debilidades del algoritmo criptográfico RC4
Solución: Eliminación del algoritmo RC4


CVE-2016-4325
Módulo: Status Bar
Impacto: Una persona con acceso fí­sico al dispositivo puede determinar la última aplicación usada con la pantalla bloqueada
Solución: Mejora de restricciones


CVE-2018-4338
Módulo: Wi-Fi
Impacto: Una aplicación puede leer memoria restringida
Solución: Mejora del saneamiento de entradas.


Todas las vulnerabilidades han sido corregidas por Apple en la última versión disponible de iOS 12.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11