viernes, 19 de junio de 2009

iPhone OS 3.0, más que una actualización de funciones

Apple ha solucionado 46 fallos de seguridad en la versión 3.0 del sistema operativo de su iPhone, además de añadir numerosas funcionalidades que los usuarios han ido requiriendo con el tiempo. Algunas de las vulnerabilidades permitían la ejecución de código arbitrario en el sistema con solo visitar una página web con su Safari integrado.

La mayoría de los parches de seguridad se concentran en Webkit (componente esencial del navegador Safari) y CoreGraphics, con 21 y 8 fallos corregidos respectivamente. Algunos de los fallos corregidos ahora fueron hechos públicos en noviembre de 2008.

Probablemente, una vez más como con cada actualización, habrán solucionado los fallos de seguridad que permiten que, con acceso físico al sistema, se pueda realizar un "jailbreak" del teléfono. Esto significa que se pueden ejecutar programas no firmados criptográficamente por Apple en él. Así, los usuarios encuentran un buen puñado de aplicaciones de todo tipo, no oficiales, que aumentan las posibilidades del teléfono mucho más allá de lo que le gustaría a la propia Apple. Pero igualmente, es muy probable que como con cada actualización, la comunidad encuentre la forma de saltarse estas restricciones. Con la beta de la versión 3 ya lo consiguieron.

Además, hace unos días se dio a conocer que en la próxima Black Hat de Las Vegas, Charles Miller y Vincenzo Iozzo presentarán una fórmula para ejecutar código no firmado, pero de forma remota, en el sistema. En la versión 1 del sistema operativo, esto era bastante sencillo (el "jailbreak" se podía realizar en remoto) pero a partir de la versión 2 se endureció la seguridad en este sentido.

Se recomienda actualizar el software a través de iTunes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The difficulty of running nonapproved code on the iPhone has turned off security researchers--until now.
http://beta.technologyreview.com/communications/22782/

About the security content of iPhone OS 3.0 Software Update
http://support.apple.com/kb/HT3639

No hay comentarios:

Publicar un comentario en la entrada