En primer lugar han salido dos actualizaciones. La primera es la versión iOS 4.3.2, que está para todos los terminales iPhone 4G, 3GS, iPad, iPad 2, iPod Touch 3G e iPod Touch 4G. Como ya sucedió con iOS 4.3, los terminales iPhone 3G e iPhone 2G se quedan fuera de los parches de seguridad. La segunda versión de iOS que ha aparecido es una rama especial, denominada iOS 4.2.7, que está especialmente sacada para los terminales iPhone 4G con Verizon, es decir, los modelos CDMA, así que, si no tienes este modelo, no tienes que preocuparte por ella.

Esta versión tiene 5 cosas importante que debes saber, para que apliques con conciencia la actualización.
  • Fallos de seguridad. Como toda actualización – o casi todas – trae consigo una corrección de fallos de seguridad que pueden afectar seriamente al sistema operativo. En este caso se corrigen 4 CVE que han sido reportados por lo más florido y granado de la seguridad en Apple. Charlie Miller, Vicenzo Lozzo, Chris Evans, Willem Pickaers, Ralf-Philipp Weinmann, Martin Barbella y el equipo de seguridad de VUPEN aparecen en los créditos de los CVE reconocidos por Apple en el expediente de seguridad de esta actualización [HT4606]:

CVE-2011-0195 : Chris Evans of Google Chrome Security Team
CVE-2011-1417 : Charlie Miller and Dion Blazakis working with TippingPoint’s Zero Day Initiative
CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, and an anonymous researcher working with TippingPoint’s Zero Day Initiative
CVE-2011-1344 : Vupen Security working with TippingPoint’s Zero Day Initiative, and Martin Barbella.


  • Lista negra de certificados digitales falsos de Comodo. Si no lo sabes aún, y te enteres por este post, deberías revisar tus lecturas de noticias de seguridad. La versión reducida es que un hacker Iraní consiguió generar certificados falsos de sitios como Gmail, Live, etcétera firmados por la entidad certificadora Comodo. Esto le permitía hacer ataques Man in the Middle en conexiones Http-s a estos sitios sin generar ninguna alerta de seguridad en el cliente, y acceder a correos electrónicos, contraseñas, etcétera. Estos certificados fueron revocados por la entidad Comodo cuando se descubrió, pero había que notificar esta revocación a los clientes, para que generaran mensajes de error que avisaran a los usuarios. Las alternativas eran 3:
1) Que los clientes descarguen la Lista de Certificados Revocados (CRL) de las entidades: Normalmente no es utilizada esta opción por lo pesadas de estas listas, así que casi nadie gestiona y descarga listas CRLs.
2) Utilizar el protocolo OCSP de validación en línea para saber si un certificado está o no revocado: El problema de esta opción es que, si la víctima está bajo un ataque de Man in the Middle, al atacante le basta con no dejarle consultar el servidor o devolverle un valor 3 de «Try Later». Esto lo explicó Chema Alonso en su blog.
3) Actualizar el repositorio de listas negras de certificados en una actualización de seguridad. Esto lo hizo primero Microsoft, luego le siguieron Debian y las distribuciones Linux, y ahora es Apple quien está haciendo esto.
  • La última cosa que debes saber es, que si actualizas a esta versión, Apple ha cerrado muchos de los bugs que utilizaba la comunidad de jailbreakers para hacer los untethered jailbreaks. De esto informaba MuscleNerd en un twitt y tienes más información desde la Comunidad Dragonjar en este tutorial de cómo hacer jaiblreak a día de hoy. Aún así, aunque se parchee el sistema operativo y no puedas tener un untethered jailbreak, es posible tener una liberación tethered, es decir, que se debe realizar en cada arranque del dispositivo, que es quizá la menos cómoda, pero más segura opción para ahora mismo.

Via: SeguridadApple

Por admin

Deja una respuesta

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
100% Free SEO Tools - Tool Kits PRO