Apple parchea 51 vulnerabilidades de seguridad

ActualidadActualizacionApple
actualización de seguridad Apple

Esta semana Apple ha publicado actualizaciones para su gama de productos incluyendo macOS, que pasa a la versión 10.14.4, y iOS con la 12.2.

WebKit y más allá

En términos de números, el componente del sistema que más actualizaciones recibió es el núcleo del navegador de Apple, conocido como WebKit, con 13 parches correspondientes a vulnerabilidades con su propio número CVE.

La mayoría son una combinación predecible de cross-site scripting (CVE-2019-8551), romper el sandbox (CVE-2019-8562), y problemas de seguridad con el origen entre varias webs (CVE-2019-8515).

También tenemos la peculiar CVE-2019-6222, que implica:

Una web puede tener acceso al micrófono sin que se active el indicador de uso del micrófono.

Parecida es la CVE-2019-8554, por la que una web puede monitorizar los datos del usuario de movimiento y ubicación.

Esta es similar en la temática al fallo en la API del ReplayKit, CVE-2019-8566, que permitía a las apps grabar sonido desde el micrófono del dispositivo, sin que el usuario se diera cuenta.

La mayoría de los usuarios probablemente saben que los dispositivos se pueden utilizar para monitorizar sus visitas a webs y su comportamiento. Estas vulnerabilidades pueden extender esto a sus conversaciones o a su movimiento físico lo que suena mucho más preocupante.

Un último vistazo a iOS 12.2 con CVE-2019-8553, una vulnerabilidad de la vieja escuela en GeoServices, que Apple dice podría dar a los atacantes una manera de comprometer el dispositivo sin necesidad de acceder al navegador:

Haciendo clic en un enlace malicioso enviado a través de un SMS podría derivar en la ejecución arbitraria de código.

KeySteal

Entre los 38 parches que encontramos para macOS Mojave, ahora con la versión 10.14.4, destacamos la vulnerabilidad KeySteal, un bug descubierto por un joven alemán de 18 años, Linus Henze, en febrero.

Al igual que un fallo anterior llamado keychainStealer, este podría permitir que una app maliciosa obtuviera las contraseñas del gestor de contraseñas de Apple Keychain.

En un principio, Heinze dijo que no iba a comunicar en qué consistía el problema como protesta a Apple por no tiene un programa de recompensas para las vulnerabilidades macOS.

Uno días después, se arrepintió y envió todos los detalles del bug a Apple.

FaceTime

Por supuesto, FaceTime recibe otra actualización para solucionar el CVE-2019-8550, descrito por Apple como:

El vídeo de un usuario puede que no se pause en una llamada FaceTime si sale de la app FaceTime mientras la llamada aún continúa.

Por lo menos es un fallo relativamente de menos transcendencia en comparación con el de febrero, CVE-2019-6223, una vulnerabilidad que permitía espiar FaceTime y había causado el pánico unos días antes.

¿Qué hacer?

Para comprobar que estás al día, o aplicar las actualizaciones en caso de que no lo estés:

  • En un iPhone ve a Ajustes > General > Información.
  • En un Mac ve al menú Apple que hay en la esquina de la pantalla, selecciona Acerca de este Mac.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.