Apple está instando a los usuarios de macOS, iPhone y iPad a instalar de inmediato las actualizaciones respectivas esta semana que incluyen correcciones para dos días cero bajo ataque activo. Los parches son para vulnerabilidades que permiten a los atacantes ejecutar código arbitrario y, en última instancia, apoderarse de los dispositivos.
Los parches están disponibles para los dispositivos afectados que se ejecutan iOS 15.6.1 y macOS Monterrey 12.5.1. Los parches solucionan dos fallas, que básicamente afectan a cualquier dispositivo Apple que pueda ejecutar iOS 15 o la versión Monterey de su sistema operativo de escritorio, según las actualizaciones de seguridad publicadas por Apple el miércoles.
Uno de los defectos es un error del kernel (CVE-2022-32894), que está presente tanto en iOS como en macOS. Según Apple, es un "problema de escritura fuera de los límites [que] se solucionó mejorando la verificación de los límites".
La vulnerabilidad permite que una aplicación ejecute código arbitrario con privilegios de kernel, según Apple, que, de manera vaga habitual, dijo que hay un informe de que "puede haber sido explotado activamente".
La segunda falla se identifica como un error de WebKit (registrado como CVE-2022-32893), que es un problema de escritura fuera de los límites que Apple solucionó con una verificación de límites mejorada. La falla permite procesar contenido web creado con fines maliciosos que puede conducir a la ejecución de código, y también se ha informado que está bajo explotación activa, según Apple. WebKit es el motor de navegador que impulsa Safari y todos los demás navegadores de terceros que funcionan en iOS.
Escenario similar a Pegaso
El descubrimiento de ambas fallas, sobre las cuales se sabe poco más allá de la revelación de Apple, fue acreditado a un investigador anónimo.
Un experto expresó su preocupación de que las últimas fallas de Apple "pudieran dar a los atacantes acceso completo al dispositivo", podrían crear un como pegaso escenario similar a aquel en el que las APT del estado-nación bombardearon objetivos con software espía realizado por el grupo israelí NSO mediante la explotación de una vulnerabilidad de iPhone.
"Para la mayoría de la gente: actualice el software al final del día", tuiteó Rachel Tobac, directora ejecutiva de SocialProof Security, con respecto a los días cero. “Si el modelo de amenaza es elevado (periodista, activista, objetivo de los estados nacionales, etc.): actualice ahora”, advirtió Tobac.
Abundan los días cero
Los defectos se dieron a conocer junto con otras noticias de Google esta semana que estaba parcheando su quinto día cero en lo que va del año para su navegador Chrome, un error de ejecución de código arbitrario bajo ataque activo.
La noticia de que aún más vulnerabilidades de los mejores proveedores de tecnología están siendo bombardeadas por actores de amenazas demuestra que, a pesar de los mejores esfuerzos de las empresas de tecnología de primer nivel para abordar los problemas de seguridad perennes en su software, sigue siendo una batalla cuesta arriba, señaló Andrew Whaley, director técnico senior de promoción, una empresa noruega de seguridad de aplicaciones.
Las fallas en iOS son especialmente preocupantes, dada la ubicuidad de los iPhones y la absoluta dependencia de los usuarios de los dispositivos móviles para su vida diaria, dijo. Sin embargo, la responsabilidad no solo recae en los proveedores para proteger estos dispositivos, sino también en que los usuarios sean más conscientes de las amenazas existentes, observó Whaley.
“Si bien todos confiamos en nuestros dispositivos móviles, no son invulnerables y, como usuarios, debemos mantener la guardia tal como lo hacemos en los sistemas operativos de escritorio”, dijo en un correo electrónico a Threatpost.
Al mismo tiempo, los desarrolladores de aplicaciones para iPhone y otros dispositivos móviles también deberían agregar una capa adicional de controles de seguridad en su tecnología para que dependan menos de la seguridad del sistema operativo para la protección, dadas las fallas que surgen con frecuencia, observó Whaley.
“Nuestra experiencia muestra que esto no está sucediendo lo suficiente, lo que podría dejar vulnerables a la banca y a otros clientes”, dijo.
- iPhone de apple
- vulnerabilidades de Apple
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- hacks
- Kaspersky
- el malware
- Mcafee
- Seguridad móvil
- noticias
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- Publicación de amenaza
- VPN
- Vulnerabilidades
- seguridad del sitio web
- zephyrnet
