Tabla de Contenidos
Brecha en la Seguridad Apple WebKit
Apple, el titán tecnológico, ha desplegado un conjunto de actualizaciones de seguridad en respuesta a la advertencia de que tres graves defectos están siendo atacados activamente. Las fallas identificadas como CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373, impactan directamente en WebKit, el motor de navegación que emplea Apple en Safari y otros navegadores en iOS.
Fallas Críticas y Ataques Actuales
La vulnerabilidad CVE-2023-32409 podría permitir a un atacante remoto evadir las medidas de seguridad del contenido web. Esta amenaza fue identificada por Clément Lecigne del grupo de análisis de amenazas de Google y Donncha ó Cearbhaill del laboratorio de seguridad de Amnistía Internacional.
En tanto, la falla CVE-2023-28204 podría exponer información confidencial al procesar contenido web, mientras que CVE-2023-32373 implica que el manejo malicioso del contenido web podría conducir a la ejecución de código arbitrario. Cabe destacar que estos defectos pueden afectar a los iPhone 8 y posteriores, todos los modelos de iPad Pro, iPad Air de tercera generación en adelante, iPads desde la quinta generación en adelante y iPad Minis de la quinta generación en adelante.
Impacto y Respuesta de Apple
Dada la falta de información detallada y las clasificaciones de gravedad sobre estos CVE, es suficiente decir que más de mil millones de iPhones y iPads podrían ser vulnerables a estos defectos. La noticia de que Apple cree que están siendo explotados es preocupante y cuestiona su eficacia en materia de seguridad.
Apple también ha revelado innumerables otros defectos: se han contado hasta 199 menciones de CVE en los ocho avisos de seguridad que Apple emitió el 18 de mayo. Estos avisos detallan problemas en MacOS Big Sur, Ventura y Monterey, donde las versiones más recientes pueden llegar a filtrar información de ubicación, entre otros problemas.
Además, 39 CVE se enumeran como impactando iOS 16.5 y iPadOS16.5. Entre los problemas se incluyen la ejecución de código arbitrario, la restauración de fotos eliminadas, aplicaciones que acceden a información de ubicación confidencial, y permisos de privacidad que se pueden usar para fines maliciosos. Algunos de estos CVE se encuentran en los sistemas operativos de Apple, pero otros son específicos de los dispositivos.
Want a free Safari 0day? (Ok, it's actually a 1day because it's fixed in the latest WebKit version, but it still works in the latest version of Safari) Then go to https://t.co/CD9IwHUQP8
— Linus Henze (@LinusHenze) December 6, 2018
Please don't do evil stuff with this.
Siguiendo su política de no «divulgar, discutir o confirmar problemas de seguridad hasta que se haya producido una investigación y los parches o lanzamientos generalmente estén disponibles», Apple ha instado a los usuarios a implementar las actualizaciones lo antes posible.
Política y Consecuencias de las Fallas en WebKit
Las noticias de las fallas en WebKit han generado inquietudes sobre la posibilidad de que Apple permita la integración de motores de navegación rivales en sus productos, lo que permitiría a más desarrolladores trabajar para mejorar la seguridad de dichos proyectos. Este desafío viene en un momento en el que informes sugieren que Apple está esforzándose para permitir múltiples motores, para satisfacer las demandas de los reguladores que piden mayor competencia en sus plataformas.
Caso Específico: Fallas de Seguridad en WatchOS
No solo los sistemas operativos de Apple y sus dispositivos móviles están experimentando problemas de seguridad. El sistema operativo WatchOS 9.5 también sufre de vulnerabilidades, particularmente el CVE-2023-32417. Este defecto permite que un atacante con acceso físico a un Apple Watch bloqueado pueda ver fotos o contactos del usuario a través de funciones de accesibilidad. Zitong Wu de Zhuhai No.1 High School descubrió esta vulnerabilidad.
Conclusiones y Pasos a Seguir
Las recientes fallas de seguridad en los productos de Apple subrayan la importancia de mantener nuestros dispositivos actualizados y la necesidad de vigilancia constante contra amenazas cibernéticas. También nos recuerdan que ninguna plataforma está completamente exenta de vulnerabilidades, ni siquiera aquellas que son ampliamente reconocidas por su robusta seguridad, como Apple.
La compañía debe continuar trabajando arduamente para solucionar estos problemas y mejorar la seguridad de sus productos. Mientras tanto, los usuarios de Apple deben tomar medidas para proteger sus dispositivos, implementando las actualizaciones de seguridad tan pronto como estén disponibles.
Articulo Similar: Geacon: La Nueva Amenaza de Golang para MacOS
