[02/09/2022] Apple ha publicado esta semana actualizaciones de seguridad urgentes para solucionar las vulnerabilidades de día cero en modelos antiguos de iPhone, iPad e iPod.
Los parches, publicados el miércoles, solucionan un problema de escritura fuera de los límites que podría ser explotado por un atacante y permitirle tomar el control del dispositivo afectado. La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha animado a los usuarios y administradores de TI a revisar el aviso HT213428 de Apple y aplicar las actualizaciones necesarias.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Apple no respondió inmediatamente a una solicitud de comentarios sobre si las vulnerabilidades habían llegado a su conocimiento a través de explotaciones activas, pero su actualización de seguridad decía: "Apple es consciente de un informe de que este problema puede haber sido explotado activamente".
Las fallas de software figuran en la base de datos Common Vulnerabilities and Exposures (CVE), un sistema financiado por una división del Departamento de Seguridad Nacional (DHS) de EE.UU. para garantizar la divulgación pública de las vulnerabilidades y exposiciones de seguridad.
"La cuestión es que, si una página web se construye de una manera determinada, puede hacer que el código se ejecute en el dispositivo fuera de la contención normal y crear efectivamente una situación de malware en el dispositivo que podría comprometer los datos, los contactos, la ubicación, insertar SW malicioso, etc.", sostuvo Jack Gold, analista principal de J. Gold Associates, LLC.
"Así que es un gran problema", añadió.
Las vulnerabilidades afectan al iPhone 6, al iPhone 6 Plus, al iPad Air, al iPad mini 2, al iPad mini 3 y al iPod touch (6ª generación), así como a las computadoras con versiones antiguas de macOS.
El hecho de que el problema afecte a ese grupo de dispositivos más antiguos -y no a los modelos más nuevos- significa que hay relativamente pocos dispositivos en riesgo, señaló Gold. Aun así, dijo, cualquiera que tenga uno de los dispositivos más antiguos debería actualizarlo lo antes posible.
Aunque un parche ofrecido para los dispositivos más antiguos puede parecer poco importante, a los ciberdelincuentes les gusta especialmente la tecnología antigua sin parchear, sobre todo si la vulnerabilidad les da un control total y la posibilidad de acceder a otros sistemas y servicios.
"Un atacante podría atraer a una víctima potencial a un sitio web especialmente diseñado, o utilizar la publicidad maliciosa para comprometer un sistema vulnerable explotando esta vulnerabilidad", señaló Malwarebytes en una entrada de blog ayer. "Dado que la vulnerabilidad existe en el software de renderizado HTML de Apple (WebKit). WebKit alimenta todos los navegadores web de iOS y Safari, por lo que los posibles objetivos son iPhones, iPads y Macs que podrían ser engañados para ejecutar código no autorizado".
El problema está solucionado en iOS 15.6.1, iPadOS 15.6.1 y macOS Monterey 12.5.1. Apple anima a los usuarios a actualizar a las últimas versiones de su software.
Basado en el artículo de Lucas Mearian (Computerworld) y editado por CIO Perú