Una de las vulnerabilidades más peligrosas era un problema en la API ReplayKit (CVE-2019-8566) que permitía a una aplicación maliciosa acceder al micrófono de un iPhone, iPad o iPod sin autorización del usuario, o peor, sin que este se diera cuenta de ello. Otro de los problemas estaba relacionado con Safari, en concreto el CVE-2019-6222, el cual permitía a un sitio web acceder también al micrófono de cualquier dispositivo iOS sin, de nuevo, dar ninguna pista de dicho acceso.
 |
Figura 1. Anuncio por parte de Apple de las actualizaciones de seguridad iOS 12.2. Fuente. |
Esta actualización iOS 12.2 también soluciona un bug (CVE-2019-8527) desde el cual un atacante remoto podría bloquear o "colgar" el sistema por completo corrompiendo la memoria del kernel. Por otro lado, WebKit también se ha actualizado con varios parches para solucionar problemas como por ejemplo, los siguientes CVE: CVE-2019-8536, CVE-2019-8544, CVE-2019-7285, CVE-2019-8556, y CVE-2019-8506. Muchos de estos CVE aún no están aún publicados, según Apple lo harán en breve.
Como hemos comentado al principio del artículo, Mojave (macOS) también ha recibido algunos parches para reparar problemas de seguridad en su versión 10.14.4. En concreto, se han reparado 38 CVEs como por ejemplo el CVE-2019-8555, relacionado con el componente AppleGraphicsControl el cual podría provocar un buffer overflow. Otro de ellos es también el CVE-2019-8522, el cual permitía montar o desmontar un volumen cifrado sin preguntar por los datos del usuario propietario.
En definitiva, damos la bienvenida a los nuevos servicios de Apple pero mucho más importante es la actualización, tanto de macOS como de iOS. Así que como siempre, mantén tus dispositivos Apple siempre a la última versión disponible.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...