Usamos la aplicación Mail de Apple todo el día, todos los días para manejar el correo electrónico personal y de trabajo, incluida una gran cantidad de comentarios, preguntas, ideas de artículos, informes de errores tipográficos, sugerencias de podcasts y mucho más.
(Sigan viniendo: recibimos mensajes mucho más positivos y útiles que los trolls, y nos encanta que siga siendo así: tips@sophos.com es cómo llegar a nosotros.)
Siempre hemos encontrado que la aplicación Mail es un caballo de batalla muy útil que se adapta bien a nosotros: no es especialmente elegante; no está lleno de características que nunca usamos; es visualmente simple; y (hasta ahora de todos modos), ha sido obstinadamente confiable.
Pero debe haber habido un problema serio en la última versión de la aplicación, porque Apple acaba de empujado un parche de seguridad de un error para iOS 16, que lleva el número de versión a iOS 16.0.3y corrigiendo una vulnerabilidad específica de Mail:
Se enumera uno y solo un error:
Impacto: el procesamiento de un mensaje de correo electrónico creado con fines malintencionados puede provocar una denegación de servicio. Descripción: se solucionó un problema de validación de entrada mejorando la validación de entrada. CVE-2022-22658
Boletines de "un error"
En nuestra experiencia, los boletines de seguridad de "un error" de Apple, o al menos los boletines de N-error para N pequeña, son la excepción más que la regla, y a menudo parecen llegar cuando hay un peligro claro y presente, como un cero que se puede romper. explotación de un día o secuencia de explotación.
Quizás la actualización de emergencia reciente más conocida de este tipo fue una solución de doble día cero en agosto de 2022 que corrigió contra un ataque de dos cañones que consistía en un agujero de ejecución de código remoto en WebKit (una forma de entrar) seguido de un agujero de ejecución de código local en el kernel mismo (una forma de tomar el control por completo):
Esos errores se enumeraron oficialmente no solo como conocidos por los extraños, sino también como objeto de abuso activo, presumiblemente por implantar algún tipo de malware que podría controlar todo lo que hacía, como husmear en todos sus datos, tomar capturas de pantalla secretas, escuchar a llamadas telefónicas y tomando imágenes con su cámara.
Unas dos semanas después, Apple incluso deslizó una actualización inesperada para iOS 12, una versión antigua que la mayoría de nosotros asumimos que era efectivamente "abandonware", habiendo estado notoriamente ausente de las actualizaciones de seguridad oficiales de Apple durante casi un año antes de eso:
(Aparentemente, iOS 12 se vio afectado por el error de WebKit, pero no por el agujero del núcleo que siguió y empeoró mucho la cadena de ataques en los productos Apple más recientes).
Esta vez, sin embargo, no se menciona que el error parcheado en la actualización de iOS 16.0.3 fue informado por alguien fuera de Apple, o de lo contrario esperaríamos ver al buscador nombrado en el boletín, aunque solo sea como “un investigador anónimo”.
Tampoco hay ninguna sugerencia de que los atacantes ya conozcan el error y, por lo tanto, ya se esté utilizando para hacer travesuras o algo peor...
…pero Apple, sin embargo, parece pensar que es una vulnerabilidad sobre la que vale la pena publicar un boletín de seguridad.
Tienes correo, tienes correo, tienes correo...
Así llamado negación de servicio (DoS) o chocar-me-a-voluntad los errores a menudo se consideran los pesos ligeros de la escena de la vulnerabilidad, porque generalmente no proporcionan una vía para que los atacantes recuperen datos que se supone que no deben ver, o para adquirir privilegios de acceso que no deberían tener, o para ejecutar código malicioso. de su propia elección.
Pero cualquier error DoS puede convertirse rápidamente en un problema grave, especialmente si sigue ocurriendo una y otra vez una vez que se activa por primera vez.
Esa situación puede surgir fácilmente en las aplicaciones de mensajería si el simple hecho de acceder a un mensaje trampa bloquea la aplicación, porque normalmente necesita usar la aplicación para eliminar el mensaje problemático...
… y si el bloqueo ocurre lo suficientemente rápido, nunca tendrá suficiente tiempo para hacer clic en el ícono de la papelera o para borrar el mensaje ofensivo antes de que la aplicación se bloquee una y otra y otra vez.
A lo largo de los años, han aparecido numerosas historias sobre escenarios de "texto de muerte" de iPhone de este tipo, que incluyen:
Por supuesto, el otro problema con lo que en broma nos referimos como CRASH: GOTO CRASH Los errores en las aplicaciones de mensajería es que otras personas pueden elegir cuándo enviarte un mensaje y qué poner en el mensaje...
…e incluso si usa algún tipo de regla de filtrado automatizado en la aplicación para bloquear mensajes de remitentes desconocidos o que no son de confianza, la aplicación normalmente necesitará procesar sus mensajes para decidir de cuáles deshacerse de ellos.
(Tenga en cuenta que este informe de error se refiere explícitamente a un bloqueo debido a “procesando un mensaje de correo electrónico creado con fines malintencionados”.)
Por lo tanto, la aplicación puede fallar de todos modos y puede seguir fallando cada vez que se reinicia mientras intenta manejar los mensajes que no pudo manejar la última vez.
¿Qué hacer?
Tanto si tienes las actualizaciones automáticas activadas como si no, ve a Ajustes > General > actualización de software para verificar (y, si es necesario, instalar) la solución.
La versión que desea ver después de la actualización es iOS 16.0.3 o después.
Dado que Apple ha lanzado un parche de seguridad solo para este error DoS, suponemos que algo disruptivo podría estar en juego si un atacante se diera cuenta de esto.
Por ejemplo, podría terminar con un dispositivo apenas utilizable que necesitaría limpiar por completo y volver a actualizar para restaurarlo a un funcionamiento saludable...
MÁS INFORMACIÓN SOBRE LAS VULNERABILIDADES
Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.
- Apple
- blockchain
- Coingenius
- choque de la muerte
- carteras de criptomonedas
- intercambio crypto
- CVE-2022-22658
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- iOS
- Kaspersky
- el malware
- Mcafee
- Seguridad desnuda
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- vulnerabilidad
- seguridad del sitio web
- zephyrnet
