Vulnerabilidad crítica afecta a 25.000 aplicaciones de iOS
La vulnerabilidad inicialmente informada a principios de esta semana residía en la biblioteca AFNetworking 2.5.1 y afectaba a 1.500 aplicaciones de iOS.
Esta vulnerabilidad fue corregida pero la empresa de seguridad SourceDNA reveló ayer un nuevo error crítico en la actualización de AFNetworking. La empresa ha revisado la actualización 2.5.2 y descubrió que el problema no se había corregido correctamente, afectando ahora a más de 25.000 aplicaciones de iOS.
Cualquier versión menor a la 2.5.3 es vulnerable. La vulnerabilidad puede ser explotada mediante el uso de cualquier certificado válido para cualquier nombre de dominio, siempre y cuando haya sido emitido por una autoridad de certificación de confianza (CA). El resultado es un atacante, con cualquier certificado válido, puede espiar o modificar una sesión SSL/TLS iniciada por una aplicación con esta biblioteca defectuosa.
Nate Lawson, el fundador de SourceDNA, dijo que "el error reside en que, a pesar de que el certificado se comprueba, se puede ingresar a un dominio distinto del señalado en el certificado".
Una revisión rápida encontró que las aplicaciones de Bank of America, Wells Fargo y JPMorgan Chase probablemente fueron afectados, aunque algunos de esos informes podría ser falsos positivos. SourceDNA ofrece una herramienta gratuita para verificar si las aplicaciones son afectadas.
Fuente: iDigitalTimes
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!