Una semana después de que Apple llevara a cabo la actualización más grande de iOS y iPad desde la versión 14.0 en septiembre de 2020, la compañía desarrolló un nuevo parche que cubre dos vulnerabilidades de día cero que permiten a los piratas informáticos ejecutar código malicioso en dispositivos completamente actualizados. Además, la nueva versión 14.5.1 también mitiga los problemas de errores en la última función de Transparencia de seguimiento de aplicaciones incluida en la versión anterior.
Ambas vulnerabilidades se encuentran en el motor del navegador Webkit que proporciona contenido web para App Store, Mail y Safari, así como otras aplicaciones que se ejecutan en iOS, Linux y macOS. Apple describió este ataque como el procesamiento de contenido web creado con fines malintencionados que conduce a la ejecución de código arbitrario. Por ahora, estos dos días cero han sido parcheados.
Hasta ahora, Apple ha publicado una notificación de que es posible que estas vulnerabilidades ya hayan sido explotadas. La compañía también anunció que el segundo día de cero fue descubierto por la firma de investigación china Qihoo 360, mientras que una fuente anónima informó el primero. punto débil. Por el momento, Apple aún tiene que proporcionar detalles sobre quién está ejecutando los exploits o quién está en riesgo de ser explotado.
El equipo de investigación de vulnerabilidades de Google Project Zero estimó que estas tres nuevas vulnerabilidades representaron un total de siete días cero utilizados activamente por Apple. De hecho, de los 22 días cero descubiertos solo en 2021, casi el 33% tenía como objetivo el sistema operativo móvil de Apple. Esto hace que iOS sea el software más específico después de Chrome zero-day.
Desde que se repararon estas vulnerabilidades, Facebook ha encontrado un problema debido a nuevas restricciones de seguridad que impiden que la aplicación de Facebook rastree la actividad del usuario en otras aplicaciones instaladas sin el consentimiento explícito del usuario. Además, otro error puede hacer que el cambio de transparencia de seguimiento de la aplicación en el menú de configuración se vuelva gris, incluso después de actualizar iOS a la versión 14.5.1.
En general, los equipos de investigación de seguridad y vulnerabilidad de Apple enfatizan que estos tipos de días cero representan un riesgo tanto para los defensores como para los usuarios debido a que ignoran su presencia. Después de todo, si los piratas informáticos logran ejecutar un código incorrecto u obtener acceso a un sistema privilegiado antes de que los respondedores de incidentes y los investigadores se den cuenta de las vulnerabilidades en cuestión, los atacantes pueden robar toneladas de datos, causando daños potencialmente inconmensurables.
Además de los parches para las vulnerabilidades detectadas, Apple también confirmó la corrección del error de transparencia de seguimiento de aplicaciones. Esta solución permitirá a los usuarios volver a optar por no seguir el seguimiento de anuncios en sus dispositivos Apple.
© 2021 Science X Network