Apple acaba de publicar una actualización de emergencia para dos vulnerabilidades día cero que aparentemente están siendo explotados activamente.
Una es un agujero de ejecución remota de código (RCE) denominado CVE-20220-32893 en el motor de renderizado de HTML de Apple (WebKit), mediante el cual una página web maliciosa puede engañar a iPhones, iPads y Macs para que ejecuten código no autorizado y no fiable.
En pocas palabras, un ciberdelincuente podría implantar un malware en tu dispositivo con simplemente visitar una página web.
Recuerda que WebKit es la parte del motor del navegador de Apple que se encuentra debajo de absolutamente todo el software de renderizado web en los dispositivos móviles de Apple.
Los Mac pueden ejecutar versiones de Chrome, Chromium, Edge, Firefox y otros navegadores “no Safari” con motores HTML y JavaScript alternativos (Chromium, por ejemplo, utiliza Blink y V8; Firefox se basa en Gecko y Rhino).
Pero en iOS y iPadOS, las reglas de la App Store de Apple insisten en que cualquier software que ofrezca cualquier tipo de funcionalidad de navegación web debe estar basado en WebKit, incluyendo navegadores como Chrome, Firefox y Edge que no dependen del código de navegación de Apple en cualquier otra plataforma en la que se puedan utilizar.
Además, todas las aplicaciones para Mac e iDevice con ventanas emergentes, como las pantallas de Ayuda o Acerca de, utilizan HTML como “lenguaje de visualización”, una comodidad a la hora de programar que es comprensiblemente popular entre los desarrolladores.
Las aplicaciones que hacen esto casi seguro que utilizan las funciones del sistema WebView de Apple, y WebView se basa directamente en WebKit, por lo que se ve afectado por cualquier vulnerabilidad en WebKit.
La vulnerabilidad CVE-2022-32893, por lo tanto, afecta potencialmente a muchas más aplicaciones y componentes del sistema que el propio navegador Safari de Apple, por lo que simplemente evitar Safari no puede considerarse una solución, incluso en los Macs donde se permiten navegadores que no sean WebKit.
Hay un segundo día cero
También hay una vulnerabilidad de ejecución de código del kernel denominada CVE-2022-32894, por la que un atacante que ya haya conseguido un punto de entrada en tu dispositivo Apple explotando el fallo de WebKit podría pasar de controlar una sola aplicación en tu dispositivo a tomar el control del propio núcleo del sistema operativo, adquiriendo así el tipo de “superpoderes administrativos” normalmente reservados a la propia Apple.
Esto significa, casi con toda seguridad, que el atacante podría:
- Espiar todas y cada una de las aplicaciones que se estén ejecutando
- Descargar e iniciar aplicaciones adicionales sin pasar por la App Store
- Acceder a casi todos los datos del dispositivo
- Cambiar la configuración de seguridad del sistema
- Recuperar su ubicación
- Realizar capturas de pantalla
- Utilizar las cámaras del dispositivo
- Activar el micrófono
- Copiar mensajes de texto
- Rastrear tu navegación
- Y mucho más
Apple no ha dicho cómo encontraron estos fallos (aparte de dar crédito a “un investigador anónimo”), no ha dicho en qué lugar del mundo han sido explotados, y no ha dicho quién los está usando o con qué propósito.
Sin embargo, en términos generales, un RCE de WebKit que funcione, seguido de un exploit del kernel que funcione, como se ve aquí, suele proporcionar toda la funcionalidad necesaria para montar un jailbreak del dispositivo (por lo tanto, saltarse deliberadamente casi todas las restricciones de seguridad impuestas por Apple), o para instalar un software espía en segundo plano y mantenerte bajo vigilancia exhaustiva.
¿Qué hacer?
¡Parchear ya!
En el momento de escribir este artículo, Apple ha publicado avisos para iPad OS 15 e iOS 15, que pasan ambos a la versión 15.6.1, y para macOS Monterey 12, que pasa a la versión 12.5.2.
En tu iPhone o iPad: Ajustes > General > Actualización de software
En tu Mac: menú Apple > Acerca de este Mac > Actualización de software
También hay una actualización que lleva a watchOS a la versión 8.7.1, pero esa actualización no enumera ningún número CVE, y no tiene un aviso de seguridad propio.
No se sabe si las versiones más antiguas de macOS (Big Sur y Catalina) están afectadas pero aún no tienen actualizaciones disponibles, o si tvOS es vulnerable pero aún no está parcheado.
Para obtener más información, estate atento a este blog, y mantente atento a la página oficial del Boletín de Seguridad de Apple, HT201222.
Dejar un comentario