Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Google encuentra dos vulnerabilidades de día cero en iOS

Android generalmente recibe más atención por el malware móvil que iOS, ya que la plataforma de Google admite tiendas de aplicaciones de terceros. El enfoque del jardín amurallado de Apple se considera una fortaleza en lo que respecta a la seguridad, pero la última actualización de iOS ha solucionado dos vulnerabilidades graves identificadas por los investigadores de Google. Su iPhone está seguro si se actualiza hoy, pero Google dice que los exploits estaban activos en la naturaleza.

Las amenazas que ya están activas en línea antes de los parches se denominan vulnerabilidades de «día cero». Rastrear estos fallos es la misión del equipo Project Zero de Google. La plataforma iOS no es de código abierto, por lo que Apple puede solucionar muchos agujeros de seguridad internamente sin siquiera darlos a conocer. Sin embargo, Project Zero informó CVE-2019-7286 y CVE-2019-7287 a Apple después de ver que aplicaciones no autorizadas los usaban contra los usuarios. Se desconoce la escala de los ataques, pero el registro de cambios de iOS 12.1.4 de Apple confirma que ahora están parcheados.

Ben Hawkes de Google publicó los errores en Twitter, señalando que ya estaban ahí. Dado que Apple no conocía las vulnerabilidades antes del informe de Google, no habría sabido escanear nuevas aplicaciones en busca de intentos de explotarlas. Es poco probable que obtengamos más detalles sobre los ataques, como cuántas aplicaciones maliciosas llegaron a la App Store. Sin embargo, es probable que Apple ya haya eliminado todo lo que tenga como objetivo CVE-2019-7286 y CVE-2019-7287.

CVE-2019-7286 impacta en iOS Foundation Framework, un componente central del sistema operativo. Las aplicaciones pueden usar esta falla para atacar una corrupción de memoria en el marco para obtener privilegios elevados. Por lo tanto, una aplicación podría acceder a datos de usuario que no debería tener.

El otro día cero, CVE-2019-72867 va después del módulo del kit de E / S. Una vez más, esta es una parte fundamental de iOS. El kit de E / S maneja las interfaces de datos entre el hardware y el software del dispositivo. Las aplicaciones que utilizan esta vulnerabilidad pueden usar una corrupción de memoria para ejecutar código arbitrario con privilegios de kernel. Un atacante podría usar este error para hacer cualquier cosa en su teléfono que usted pudiera hacer.

iOS 12.1.4 está disponible para todos los iDevices desde iPhone 5s, iPod Touch de sexta generación, iPad Air en adelante. Esta actualización también corrige ese desagradable error de FaceTime que permite que la gente te espíe antes de que respondas las llamadas. Si eso no fuera suficiente para actualizar, tal vez dos nuevas vulnerabilidades de día cero lo hagan.