Que corrige la nueva IOS 4.3.2 de Apple

En primer lugar han salido dos actualizaciones. La primera es la versión iOS 4.3.2, que está para todos los terminales iPhone 4G, 3GS, iPad, iPad 2, iPod Touch 3G e iPod Touch 4G. Como ya sucedió con iOS 4.3, los terminales iPhone 3G e iPhone 2G se quedan fuera de los parches de seguridad. La segunda versión de iOS que ha aparecido es una rama especial, denominada iOS 4.2.7, que está especialmente sacada para los terminales iPhone 4G con Verizon, es decir, los modelos CDMA, así que, si no tienes este modelo, no tienes que preocuparte por ella.

Esta versión tiene 5 cosas importante que debes saber, para que apliques con conciencia la actualización.

• Fallos de funcionalidad y estabilidad en FaceTime y la conectividad 3G. Si has notado problemas de conectividad en redes 3G esta nueva versión los corrige. Al mismo tiempo, solventa un fallo bastante curioso con el programa FaceTime que, sin saber porque, se confundía a la hora de mostrar las fotos y sacaba fotos antiguas de forma aleatoria en comunicaciones.

• Lista negra de certificados digitales falsos de Comodo. Si no lo sabes aún, y te enteres por este post, deberías revisar tus lecturas de noticias de seguridad. La versión reducida es que un hacker Iraní consiguió generar certificados falsos de sitios como Gmail, Live, etcétera firmados por la entidad certificadora Comodo. Esto le permitía hacer ataques Man in the Middle en conexiones Http-s a estos sitios sin generar ninguna alerta de seguridad en el cliente, y acceder a correos electrónicos, contraseñas, etcétera. Estos certificados fueron revocados por la entidad Comodo cuando se descubrió, pero había que notificar esta revocación a los clientes, para que generaran mensajes de error que avisaran a los usuarios. Las alternativas eran 3:

1) Que los clientes descarguen la Lista de Certificados Revocados (CRL) de las entidades: Normalmente no es utilizada esta opción por lo pesadas de estas listas, así que casi nadie gestiona y descarga listas CRLs.

2) Utilizar el protocolo OCSP de validación en línea para saber si un certificado está o no revocado: El problema de esta opción es que, si la víctima está bajo un ataque de Man in the Middle, al atacante le basta con no dejarle consultar el servidor o devolverle un valor 3 de «Try Later». Esto lo explicó Chema Alonso en su blog.

3) Actualizar el repositorio de listas negras de certificados en una actualización de seguridad. Esto lo hizo primero Microsoft, luego le siguieron Debian y las distribuciones Linux, y ahora es Apple quien está haciendo esto.

• La última cosa que debes saber es, que si actualizas a esta versión, Apple ha cerrado muchos de los bugs que utilizaba la comunidad de jailbreakers para hacer los untethered jailbreaks. De esto informaba MuscleNerd en un twitt y tienes más información desde la Comunidad Dragonjar en este tutorial de cómo hacer jaiblreak a día de hoy. Aún así, aunque se parchee el sistema operativo y no puedas tener un untethered jailbreak, es posible tener una liberación tethered, es decir, que se debe realizar en cada arranque del dispositivo, que es quizá la menos cómoda, pero más segura opción para ahora mismo.

• La última cosa que tienes que tener muy presente es, que si quieres seguir desarrollando aplicaciones para iOS 4.3.2, necesitas actualizar XCode a la versión 4.0.2.

Via: SeguridadApple