Coquy
APP DJ TEAM
Resumen de parches de seguridad en la actualización iOS 8.1
Si te gusta conocer todo lo que arregla Apple en las actualización de seguridad te dejo un pequeño resumen de todo lo que se arregló en iOS 8.1
Bluetooth
Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior
Impacto: Un dispositivo de entrada Bluetooth dañino podría eludir el enlace. Se permitían conexiones sin encriptar de accesorios Bluetooth clase HID (dispositivo de interfaz humana) de bajo consumo. Si un dispositivo iOS se había enlazado con uno de estos accesorios, un atacante podía suplantar al accesorio legítimo para establecer una conexión. Este problema se ha solucionado denegando las conexiones HID sin encriptar.
House Arrest
Disponible para iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior. Los archivos transferidos al dispositivo podrían escribirse con una protección criptográfica insuficiente
Podían transferirse archivos al directorio Documents de una app y encriptarse con una clave protegida únicamente por el UID de hardware. Este problema se ha solucionado encriptando los archivos transferidos con una clave protegida por el UID de hardware y el código del usuario.
Acceso a datos de iCloud
Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior
Un atacante en una posición de red privilegiada podría obligar a clientes de acceso a datos de iCloud a filtrar información confidencial
Existía una vulnerabilidad de validación de certificados TLS en los clientes de acceso a datos de iCloud. Este problema se ha solucionado mejorando la validación de certificados.
Teclados y keyloggers
Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior
QuickType podía obtener las credenciales del usuario
QuickType podía obtener las credenciales del usuario al alternar entre elementos. Este problema se ha solucionado impidiendo que QuickType obtenga datos de los campos en los que autocompletar está deshabilitado y volviendo a aplicar los criterios al alternar entre elementos de entrada DOM en WebKit antiguo.
Secure Transport en iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior. Un atacante podría ser capaz de descifrar datos protegidos mediante SSL
Existen ataques conocidos contra la confidencialidad de SSL 3.0 cuando una suite de cifrado utiliza un cifrado por bloques en modo CBC.
Un atacante podía forzar el uso de SSL 3.0 incluso si el servidor era compatible con una versión mejor de TLS, mediante el bloqueo de los intentos de conexión TLS 1.0 y superior. Este problema se ha solucionado deshabilitando las suites de cifrado CBC cuando los intentos de conexión TLS fallan.
Si te gusta conocer todo lo que arregla Apple en las actualización de seguridad te dejo un pequeño resumen de todo lo que se arregló en iOS 8.1
Bluetooth
Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior
Impacto: Un dispositivo de entrada Bluetooth dañino podría eludir el enlace. Se permitían conexiones sin encriptar de accesorios Bluetooth clase HID (dispositivo de interfaz humana) de bajo consumo. Si un dispositivo iOS se había enlazado con uno de estos accesorios, un atacante podía suplantar al accesorio legítimo para establecer una conexión. Este problema se ha solucionado denegando las conexiones HID sin encriptar.
House Arrest
Disponible para iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior. Los archivos transferidos al dispositivo podrían escribirse con una protección criptográfica insuficiente
Podían transferirse archivos al directorio Documents de una app y encriptarse con una clave protegida únicamente por el UID de hardware. Este problema se ha solucionado encriptando los archivos transferidos con una clave protegida por el UID de hardware y el código del usuario.
Acceso a datos de iCloud
Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior
Un atacante en una posición de red privilegiada podría obligar a clientes de acceso a datos de iCloud a filtrar información confidencial
Existía una vulnerabilidad de validación de certificados TLS en los clientes de acceso a datos de iCloud. Este problema se ha solucionado mejorando la validación de certificados.
Teclados y keyloggers
Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior
QuickType podía obtener las credenciales del usuario
QuickType podía obtener las credenciales del usuario al alternar entre elementos. Este problema se ha solucionado impidiendo que QuickType obtenga datos de los campos en los que autocompletar está deshabilitado y volviendo a aplicar los criterios al alternar entre elementos de entrada DOM en WebKit antiguo.
Secure Transport en iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior. Un atacante podría ser capaz de descifrar datos protegidos mediante SSL
Existen ataques conocidos contra la confidencialidad de SSL 3.0 cuando una suite de cifrado utiliza un cifrado por bloques en modo CBC.
Un atacante podía forzar el uso de SSL 3.0 incluso si el servidor era compatible con una versión mejor de TLS, mediante el bloqueo de los intentos de conexión TLS 1.0 y superior. Este problema se ha solucionado deshabilitando las suites de cifrado CBC cuando los intentos de conexión TLS fallan.
