iOS anterior a 10.1 puede ser hackeado con tan sólo abrir un PDF o JPEG

Actualiza tu iPhone a iOS 10.1 o puede ser hackeado mediante la apertura de un simple archivo de imagen JPEG o un fichero en formato PDF. La vulnerabilidad CVE-2.016-4673  es crítica, pero Apple no proporciona más detalles, ya que en palabras textuales de Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias.

Actualizar a iOS 10.1

La visualización de un archivo JPEG con fines malintencionados puede provocar la ejecución de código arbitrario, una imagen JPEG podría poner en peligro su iPhone.

Incluso una acción simple como mirar una imagen JPEG o abrir un documento PDF podría causar problemas serios, un atacante, de hecho, podría secuestrar su dispositivo móvil de Apple (iPhone, iPad y iPod).

¡Sí, es correcto! Una imagen JPEG trampa explosiva podría poner en peligro su vulnerables iPhone de forma remota.

Los dispositivos de Apple se ven afectados por una fallo crítico de  ejecución de código remoto, asignado con el identificador CVE-2.016-4673, por esta razón, el gigante de la tecnología ha lanzado una nueva versión de su sistema operativo móvil, iOS 10.1.

 A continuación la descripción del fallo proporcionado por Apple:

• https://support.apple.com/en-in/HT207271

CoreGraphics
Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later
Impact: Viewing a maliciously crafted JPEG file may lead to arbitrary code execution
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4673: Marco Grassi (@marcograss) of KeenLab (@keen_lab), Tencent

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a sus clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias.  Este documento enumera las versiones recientes.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos de Apple.

Como suele ocurrir en estos casos, es fundamental una gestión rápida revisión, los usuarios tienen que actualizar su sistema operativo para solucionar los problemas. Por desgracia, esto no siempre ocurre y los piratas informáticos de todo el mundo podría tomar el control de los dispositivos de Apple vulnerables de una manera muy sencilla.

El más nuevo iOS 10.1 incluye también otras actualizaciones de seguridad que se ocupan de 11 fallos de seguridad en el firmware para el iPhone, iPad y iPod Touch.

La lista de vulnerabilidades corregidas con la versión  10,1de  iOS  incluye una vulnerabilidad de ejecución de código local, una vulnerabilidad en los contactos (CVE-2.016-4686), un defecto de ejecución remota de código en WebKit (CVE-2016-4677).

iOS 10.1

Released October 24, 2016
CFNetwork Proxies

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: An attacker in a privileged network position may be able to leak sensitive user information

Description: A phishing issue existed in the handling of proxy credentials. This issue was addressed by removing unsolicited proxy password authentication prompts.

CVE-2016-7579: Jerry Decime

CoreGraphics

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: Viewing a maliciously crafted JPEG file may lead to arbitrary code execution

Description: A memory corruption issue was addressed through improved memory handling.

CVE-2016-4673: Marco Grassi (@marcograss) of KeenLab (@keen_lab), Tencent

FaceTime

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: An attacker in a privileged network position may be able to cause a relayed call to continue transmitting audio while appearing as if the call terminated

Description: User interface inconsistencies existed in the handling of relayed calls. These issues were addressed through improved FaceTime display logic.

CVE-2016-4635: Martin Vigo (@martin_vigo) of salesforce.com

FontParser

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: Parsing a maliciously crafted font may disclose sensitive user information

Description: An out-of-bounds read was addressed through improved bounds checking.

CVE-2016-4660: Ke Liu of Tencent's Xuanwu Lab

Kernel

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: An application may be able to disclose kernel memory

Description: A validation issue was addressed through improved input sanitization.

CVE-2016-4680: Max Bazaliy of Lookout and in7egral

libarchive

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: A malicious archive may be able to overwrite arbitrary files

Description: An issue existed within the path validation logic for symlinks. This issue was addressed through improved path sanitization.

CVE-2016-4679: Omer Medan of enSilo Ltd

libxpc

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: An application may be able to execute arbitrary code with root privileges

Description: A logic issue was addressed through additional restrictions.

CVE-2016-4675: Ian Beer of Google Project Zero

Sandbox Profiles

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: An application may be able to retrieve metadata of photo directories

Description: An access issue was addressed through additional sandbox restrictions on third party applications.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sandbox Profiles

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: An application may be able to retrieve metadata of audio recording directories

Description: An access issue was addressed through additional sandbox restrictions on third party applications.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Security

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: A local attacker can observe the length of a login password when a user logs in

Description: A logging issue existed in the handling of passwords. This issue was addressed by removing password length logging.

CVE-2016-4670: Daniel Jalkut of Red Sweater Software

System Boot

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: A local user may be able to cause an unexpected system termination or arbitrary code execution in the kernel

Description: Multiple input validation issues existed in MIG generated code. These issues were addressed through improved validation.

CVE-2016-4669: Ian Beer of Google Project Zero

WebKit

Available for: iPhone 5 and later, iPad 4th generation and later, iPod touch 6th generation and later

Impact: Processing maliciously crafted web content may lead to arbitrary code execution

Description: Multiple memory corruption issues were addressed through improved memory handling.

CVE-2016-4666: Apple

CVE-2016-4677: An anonymous researcher working with Trend Micro’s Zero Day Initiative

No pierdas el tiempo, actualiza sus dispositivos móviles a iOS 10.1 tan pronto como sea posible.

Para actualizar su dispositivo iOS vaya a Configuración --> General -->Actualización de software.

Actualizar el software iOS en tu iPhone, iPad o iPod touch

Aprende a actualizar tu iPhone, iPad o iPod touch a la versión más reciente de iOS de forma inalámbrica o usando iTunes.

Puedes actualizar iPhone, iPad o iPod touch a la versión más reciente de iOS de forma inalámbrica. Si no puedes ver la actualización en tu dispositivo, puedes actualizarlo manualmente usando iTunes.

Actualizar tu dispositivo de forma inalámbrica

Si aparece un mensaje en el que se indica que hay una actualización disponible, pulsa Instalar ahora. También puedes probar estos pasos:

1. Enchufa el dispositivo y conéctalo a Internet a través de Wi-Fi.
2. Pulsa Ajustes > General > Actualización software.
   
3. Pulsa Descargar e instalar. Si aparece un mensaje para preguntarte si deseas borrar temporalmente apps porque iOS necesita más espacio para la actualización, pulsa Continuar o Cancelar. Más tarde iOS volverá a instalar las apps borradas. Si pulsas Cancelar, consulta qué hacer a continuación.
4. Para actualizar ahora, pulsa Instalar. O bien puedes pulsar Más tarde y elegir Instalar esta noche o Recordar más tarde.Si pulsas Instalar esta noche, simplemente enchufa tu dispositivo iOS a la corriente antes de irte a dormir. Tu dispositivo se actualizará automáticamente durante la noche.
5. Si se te pide, introduce tu código de acceso. Si no sabes tu código de acceso, consulta lo que tienes que hacer.

Actualizaciones de seguridad de Apple

Nombre y enlace a información	Disponible para	Fecha de publicación
iOS 10.0.3	iPhone 7 y iPhone 7 Plus	17 de octubre de 2016

La fatiga de seguridad de los usuarios

Los usuarios están abrumados por los constantes incidentes y riesgos. Y al final se cansan de actualizar constanemente los dispositivos.

Según un estudio del National Institute of Standards and Technology (NIST) halló que las personas se sienten abrumadas por tener que estar constantemente alertas ante ciberataques, y también afectadas por el aumento en la cantidad de medidas que deben tomar para protegerse. Como resultado, muchos ignoran las señales de un posible ataque.

 Según los autores del estudio, las soluciones incluyen reducir el número de decisiones relacionadas a seguridad que un usuario debe tomar, así como simplificar el proceso para que elijan la opción correcta.

Mary Theofanos, coautora del estudio e informática del NIST, dijo: “Años atrás, tenías una contraseña para mantenerte al día en el trabajo. Ahora se les pide a las personas que recuerden 25 o 30. No hemos pensado demasiado en la expansión de la ciberseguridad y lo que le ha hecho a la gente”.