Apple parchea 51 vulnerabilidades de seguridad

Esta semana Apple ha publicado actualizaciones para su gama de productos incluyendo macOS, que pasa a la versión 10.14.4, y iOS con la 12.2.

En términos de números, el componente del sistema que más actualizaciones recibió es el núcleo del navegador de Apple, conocido como WebKit, con 13 parches correspondientes a vulnerabilidades con su propio número CVE.

La mayoría son una combinación predecible de cross-site scripting, romper el sandbox , y problemas de seguridad con el origen entre varias webs .

También tenemos la peculiar CVE-2019-6222, que implica: »Una web puede tener acceso al micrófono sin que se active el indicador de uso del micrófono».

Parecida es la CVE-2019-8554, por la que una web puede monitorizar los datos del usuario de movimiento y ubicación. Esta es similar en la temática al fallo en la API del ReplayKit, CVE-2019-8566, que permitía a las apps grabar sonido desde el micrófono del dispositivo, sin que el usuario se diera cuenta.

La mayoría de los usuarios probablemente saben que los dispositivos se pueden utilizar para monitorizar sus visitas a webs y su comportamiento. Estas vulnerabilidades pueden extender esto a sus conversaciones o a su movimiento físico lo que suena mucho más preocupante.

Un último vistazo a iOS 12.2 con CVE-2019-8553, una vulnerabilidad de la vieja escuela en GeoServices, que Apple dice podría dar a los atacantes una manera de comprometer el dispositivo sin necesidad de acceder al navegador: »Haciendo clic en un enlace malicioso enviado a través de un SMS podría derivar en la ejecución arbitraria de código».

KeySteal

Entre los 38 parches que encontramos para macOS Mojave, ahora con la versión 10.14.4, destacamos la vulnerabilidad KeySteal, un bug descubierto por un joven alemán de 18 años, Linus Henze, en febrero.

Al igual que un fallo anterior llamado keychainStealer, este podría permitir que una app maliciosa obtuviera las contraseñas del gestor de contraseñas de Apple Keychain.

En un principio, Heinze dijo que no iba a comunicar en qué consistía el problema como protesta a Apple por no tiene un programa de recompensas para las vulnerabilidades macOS. Unos días después, se arrepintió y envió todos los detalles del bug a Apple.

FaceTime

Por supuesto, FaceTime recibe otra actualización para solucionar el CVE-2019-8550, descrito por Apple como:

El vídeo de un usuario puede que no se pause en una llamada FaceTime si sale de la app FaceTime mientras la llamada aún continúa.

Por lo menos es un fallo relativamente de menos transcendencia en comparación con el de febrero, CVE-2019-6223, una vulnerabilidad que permitía espiar FaceTime y había causado el pánico unos días antes.

¿Qué hacer?

Para comprobar que estás al día, o aplicar las actualizaciones en caso de que no lo estés:

  • En un iPhone ve a Ajustes > General > Información.
  • En un Mac ve al menú Apple que hay en la esquina de la pantalla, selecciona Acerca de este Mac.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba