Apple informa 2 días 0 de iOS que permiten a los piratas informáticos comprometer dispositivos con parches completos

Cinco iPhones en una mesa
Agrandar / La línea de iPhone 2020. De izquierda a derecha: iPhone 12 Pro Max, iPhone 12 Pro, iPhone 12, iPhone SE y iPhone 12 mini.

Una semana después de que Apple publicara su mayor actualización de iOS y iPadOS desde el lanzamiento de la versión 14.0 en septiembre pasado, la compañía lanzó una nueva actualización para parchear dos días cero que permitía a los atacantes ejecutar código malicioso en dispositivos completamente actualizados. El lanzamiento del lunes de la versión 14.5.1 también corrige problemas con un error en la función Transparencia de seguimiento de aplicaciones recientemente lanzada que se implementó en la versión anterior.

Ambas vulnerabilidades residen en Webkit, un motor de navegador que muestra contenido web en Safari, Mail, App Store y otras aplicaciones seleccionadas que se ejecutan en iOS, macOS y Linux. CVE-2021-30663 y CVE-2021-30665, ya que se realiza un seguimiento de los días cero, ahora se han parcheado. La semana pasada, Apple fijo CVE-2021-30661, otra falla de ejecución de código en iOS Webkit, que también podría haber sido explotada activamente.

“El procesamiento de contenido web creado con fines malintencionados puede conducir a la ejecución de código arbitrario”, dijo Apple en su notas de seguridad, refiriéndose a los defectos. “Apple tiene conocimiento de un informe de que este problema puede haber sido explotado activamente”. MacOS 11.3.1, que Apple también lanzado el lunes, también fijo CVE-2021-30663 y CVE-2021-30665.

CVE-2021-30665 fue descubierto por investigadores de la empresa de seguridad con sede en China Qihoo 360. La otra vulnerabilidad fue descubierta por una fuente anónima. Apple no proporcionó detalles sobre quién está usando los exploits o quién está siendo atacado por ellos.

Codiciado por los sombreros negros, temido por los defensores

De acuerdo a cifras del equipo de investigación de vulnerabilidades del Proyecto Cero de Google, las tres vulnerabilidades de iOS recientemente parcheadas elevan a siete el número de días cero explotados activamente contra los usuarios de iOS. Con un total de 22 días cero encontrados hasta ahora en 2021, los que explotan el sistema operativo móvil de Apple representan casi el 33 por ciento de ellos. Eso convierte a iOS en el segundo software más dirigido por días cero este año, detrás de Chrome, que ha tenido ocho días cero.

Los días cero son muy codiciados por los sombreros negros y temidos por los defensores porque son desconocidos para los desarrolladores del software vulnerable y el público en general. Eso significa que las personas que descubren las fallas de seguridad pueden usarlas para piratear dispositivos que están completamente actualizados, a menudo con poca o ninguna detección.

Por separado, 14.5.1 corrige un error que impedía que algunos usuarios vieran las indicaciones de transparencia de seguimiento de aplicaciones.

“Esta actualización soluciona un problema con la transparencia de seguimiento de aplicaciones donde algunos usuarios que previamente deshabilitaron Permitir que las aplicaciones soliciten seguimiento en la configuración pueden no recibir mensajes de las aplicaciones después de volver a habilitarla”, dice la descripción de la actualización. “Esta actualización también proporciona importantes actualizaciones de seguridad y se recomienda para todos los usuarios”.

Apple lanzó App Tracking Transparencia en el lanzamiento de iOS 14.5 de la semana pasada. La adición ha afectado a Facebook porque evita que la aplicación de la compañía rastree la actividad del usuario en otras aplicaciones que los usuarios hayan instalado sin permiso explícito. Un segundo error puede hacer que la palanca de Transparencia de seguimiento de la aplicación en el menú de configuración esté atenuada. Hay numerosos informes de que el interruptor permanece atenuado para muchos usuarios incluso después de actualizar a iOS 14.5.1. Los representantes de Apple no respondieron de inmediato a una solicitud de comentarios.

Leave a Reply

Your email address will not be published. Required fields are marked *