Graves Vulnerabilidades en iOS 12.2
Apple acaba de lanzar el lunes iOS 12.2 para parchear un total de 51 vulnerabilidades de iOS que afectan a el iPhone 5s y posteriores, iPad Air y posteriores, y iPod touch 6ta generación.
La mayoría de las vulnerabilidades de iOS que Apple parchó este mes reside en su motor de representación web WebKit, que es utilizado por muchas aplicaciones y navegadores web que se ejecutan en el sistema operativo de Apple.
De acuerdo con el aviso, el simple hecho de abrir un contenido web creado con fines malintencionados utilizando cualquier aplicación vulnerable basada en WebKit podría permitir a los atacantes remotos ejecutar código arbitrario, divulgar información confidencial del usuario, omitir restricciones de sandbox o lanzar ataques universales de scripts entre sitios en el dispositivo.
Vulnerabilidades de iOS parchadas
Uso del micrófono
Entre las vulnerabilidades de iOS de WebKit se incluye un problema de coherencia (CVE-2019-6222) que permite a los sitios web maliciosos acceder a un micrófono de dispositivo iOS sin que se muestre el indicador “micrófono en uso”.
Una vulnerabilidad similar (CVE-2019-8566) ha sido parcheada en la API ReplayKit de Apple que podría permitir que una aplicación maliciosa acceda al micrófono del dispositivo iOS sin alertar al usuario.
“Existía un problema de API en el manejo de los datos del micrófono. Este problema se resolvió con una validación mejorada”, dice Apple en su informe de asesoramiento sobre el error ReplayKit.
Error lógico en WebKit
Apple también ha solucionado un error lógico grave (CVE-2019-8503) en WebKit que podría haber permitido que sitios web maliciosos ejecuten scripts en el contexto de otro sitio, lo que les permite robar su información almacenada en otros sitios o lanzar una amplia gama de ataques en línea.
SMS maliciosos
Además de los problemas de WebKit, el aviso también reveló la existencia de una falla crítica en versiones anteriores de iOS que podrían conducir a la ejecución de código arbitrario solo por convencer a las víctimas a hacer clic en un enlace SMS malicioso.
La vulnerabilidad de los SMS, identificada como CVE-2019-8553, parece afectar los dispositivos iPhone 5s y posteriores, iPad Air y posteriores, y iPod touch de 6ª generación.
Vulnerabilidades de iOS en el kernel
También parchearon un total de seis vulnerabilidades de iOS en su kernel, de las cuales:
- CVE-2019-8527 podría permitir que un atacante remoto bloquee el sistema o dañe la memoria del kernel.
- CVE-2019-8514 podría usarse para elevar los privilegios, y el resto permitir que las aplicaciones maliciosas puedan leer el diseño de memoria.
Los detalles técnicos y el código de prueba de concepto para las fallas recientemente reparadas aún no están disponibles.
Para verificar la actualización en tu iPhone o iPad, dirígete a Configuración → General → Actualización de software y haz clic en el botón ‘Descargar e instalar’.
¡Gracias por leer este artículo!