Un investigador identificó errores en el kernel del software y en el motor del navegador WebKit que posiblemente formen parte de una cadena de exploits. Apple viene solucionando problemas de seguridad al parchear vulnerabilidades de días cero. Esto mediante una actualización de emergencia durante esta semana para parchear tres más recientemente descubiertos en iOS. Recordemos que se realizó una actualización de software en noviembre en la cual ya se solucionó tres que estaban siendo explotados activamente.
Los errores recientemente parcheados son parte de una actualización de seguridad lanzada para iOS 14.4 y iPadOS 14.4. Un error, registrado como CVE-2021-1782, se encontró en el kernel del sistema operativo, mientras que el CVE-2021-1870 y CVE-2021-1871, se descubrieron en el motor del navegador WebKit.
Las vulnerabilidades más recientes no se conocían cuando Apple lanzó iOS 14.2 y iPadOS 14.2. Dicha actualización integral corrigió un total de 24 vulnerabilidades en noviembre. Además, incluyó correcciones para tres fallas de día cero descubiertas por el equipo de Google Project Zero que estaban siendo explotadas activamente.
Apple mencionó que los atacantes también pueden aprovechar activamente los últimos errores. La compañía describió la falla del kernel como una condición de carrera que la actualización aborda con bloqueo mejorado. De ser explotada, la vulnerabilidad puede permitir que una aplicación maliciosa eleve los privilegios.
Las vulnerabilidades de WebKit son problemas lógicos que la actualización aborda con restricciones mejoradas. La explotación de estos defectos permitiría a un atacante remoto provocar la ejecución de código arbitrario.
Los expertos en seguridad creen que los tres son parte de una cadena de exploits que los atacantes pueden usar para escalar privilegios y comprometer un dispositivo después de que su usuario sea víctima de un sitio web malicioso que aprovecha la falla de WebKit.
Las correcciones afectan al iPhone 6s y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores, y iPod touch (séptima generación).
Sin embargo, Apple no mencionó cómo se utilizan los errores en los ataques. Normalmente no revela este tipo de información hasta que se repara la mayoría de los dispositivos afectados.
La proliferación de iPhones en todo el mundo hace que la noticia de cualquier día cero de Apple iOS sea una amenaza de seguridad para sus millones de usuarios. Con relación a este problema, cuatro amenazas persistentes avanzadas (APT) respaldadas por estados nacionales utilizaron un exploit de iPhone de día cero en un hack de espionaje muy publicitado contra periodistas, productores, presentadores y ejecutivos de Al Jazeera a fines del año pasado.
Los usuarios de iPhone, profesionales de la tecnología y expertos en seguridad acudieron a Twitter cuando surgieron las noticias de la última ola de días cero de iOS para advertir a los usuarios de iPhone que actualicen sus dispositivos de inmediato.
Fuente: Threat Post
Para más información ingresar aquí.
Comentarios