Ir al contenido
actualización de seguridad Apple
Búsqueda de Ciberamenazas

Apple soluciona la filtración de datos de Safari (y parchea un día cero). Actualiza ya

Hace dos semanas, escribimos sobre un fallo de Apple Safari que podía permitir a los operadores de sitios web fraudulentos rastrear al usuario aunque parecieran no hacerlo, incluso si se tiene activada la protección estricta de la privacidad.

De hecho, esa vulnerabilidad, ahora conocida como CVE-2022-22594, apareció en Safari debido a un fallo en WebKit, el “motor de renderizado del navegador”, en el que se basa la aplicación Safari.

Y aunque Safari es el único navegador principal basado en WebKit en macOS de Apple (Edge y Chromium utilizan el motor Blink de Google, Firefox utiliza el renderizador Gecko de Mozilla), no es el caso de los dispositivos móviles de Apple.

Cualquier navegador o aplicación similar a un navegador en la App Store, que es esencialmente la única fuente de software para iPhones, iPads, Apple Watches y demás, debe ser programado para utilizar WebKit, incluso si utiliza un motor de renderizado de terceros en otras plataformas.

Como resultado, los usuarios de macOS podían simplemente cambiar de navegador para esquivar el fallo, mientras que los usuarios de un iDevice no podían hacerlo.

El fallo CVE-2022-22594 era irritantemente sencillo. Se basaba en el hecho de que, aunque tu sitio web no podía acceder a ninguno de los datos almacenados localmente por mi sitio web (una consecuencia de la Política de Mismo Origen aplicada por los navegadores para mantener los datos web privados para la página que los creó en primer lugar), podía enumerar los nombres de cualquier base de datos que hubiera creado para mis datos. Si elegías un nombre de base de datos único para mi propio servicio, para evitar coincidir con cualquier otro, ese nombre identificaría de forma única mi sitio, y por tanto filtraría el historial de navegación del usuario. Pero si eligieras un nombre aleatorio para evitar choques y no identificar mi sitio web, ese nombre actuaría como una especie de “supercookie” que identificaría de forma única al usuario.

Los parches ya están disponibles

La buena noticia es que el CVE-2022-22594 ha sido parcheado en las últimas actualizaciones de seguridad de Apple, disponibles de la siguiente manera:

  • iOS 15.3 y iPadOS 15.3. Véase el boletín de seguridad HT213053.
  • macOS Monterey 12.2. Véase el boletín de seguridad HT213054.
  • tvOS 15.3. Véase el boletín de seguridad HT213057.
  • watchOS 8.4. Véase el boletín de seguridad HT213059.
  • Safari 15.3. Esta actualización se incluye automáticamente en las cuatro anteriores, pero es necesario descargarla por separado para macOS Big Sur y Catalina. HT213058.

Por supuesto, el nuevo fallo “supercookie” de Safari no es el único agujero de seguridad parcheado en este lote de actualizaciones: también se han parcheado otros numerosos fallos aún más graves.

No hay actualizaciones para iOS 12 o iOS 14, las dos versiones oficiales anteriores de la plataforma iDevice de Apple, pero hay parches masivos para Catalina y Big Sur, las dos versiones anteriores de macOS:

  • macOS Big Sur 11.6.3. Véase el boletín de seguridad HT213055.
  • Actualización de seguridad 2022-001 de macOS Catalina. Véase el boletín de seguridad HT213056.

Estas actualizaciones de seguridad pueden considerarse críticas, dado el número de bugs de ejecución remota de código (RCE) que podrían, al menos en teoría, ser utilizados sin tu consentimiento para instalar software de vigilancia encubierto, implantar malware, robar datos, desbloquear en secreto tu dispositivo, etc.

De hecho, en iOS 15, iPadOS 15, Monterey 12 y BigSur 11, uno de los bugs RCE que potencialmente da control a nivel de kernel (el peor tipo de bug RCE que se puede obtener) aparece con la advertencia típicamente discreta de Apple de que la compañía “es consciente de un informe de que este problema puede haber sido explotado activamente”.

En español sencillo, traducimos esas palabras de la siguiente manera: “Este es un fallo de día cero. Un exploit que ya está siendo utilizado”. (En pocas palabras: parchea ahora mismo, porque los delincuentes ya están en ello).

¿Qué hacer?

Como acabamos de decir, la ecuación es muy sencilla: Agujero de día cero en el kernel -> Parchear ya.

Los números de las nuevas versiones a las que debes prestar atención se enumeran más arriba.

Una vez más: en un Mac, es el menú Apple > Acerca de este Mac > Actualización de Software… y en un iDevice, es Ajustes > General > Actualización de Software.

No te lo pienses, hazlo hoy mismo.

(Y no olvides que, en los Mac más antiguos que no ejecutan Monterey 12, hay que instalar dos actualizaciones: una para el sistema operativo en general, y una segunda específicamente para WebKit y Safari).

1 comentario

Dejar un comentario

Your email address will not be published.