Apple ofrece una nueva ronda de actualizaciones de seguridad para corregir errores en Safari, watchOS, tvOS e iOS. Algunas de las vulnerabilidades se divulgaron antes de estas versiones, creando una ventana de oportunidad para usuarios malintencionados.
Apple lanzó su versión más nueva de iOS hoy, y además de agregar un aumento de rendimiento a los modelos de iPhone más antiguos, también viene con soluciones para problemas de seguridad.
iOS 12 protege la lectura de la memoria, corrige la ejecución del código con derechos de administrador
La compañía con sede en Cupertino abordó problemas que permitían que las aplicaciones locales leyeran un identificador de cuenta persistente, intercepción de tráfico Bluetooth,
información de aprendizaje sobre la vista actual de la cámara o sugerencias de inicio de sesión falsas en la tienda de iTunes.
Entre los más serios se encuentra uno reportado por Ian Beer de Google Project Zero en iOS kernel, y otro descubierto por Apple.
Beer descubrió que una aplicación puede leer memoria restringida debido a un problema de validación de entrada insuficiente en el kernel.
Un problema con el mismo efecto fue informado por el investigador de seguridad Brandon Azad , quien lo encontró en el IOMobileFrameBuffer, una extensión del kernel que gestiona el framebuffer de la pantalla.
El tercer problema de este tipo existía en el componente WiFi y provenía de un investigador de seguridad llamado Lee y la Universidad de Yonsei.
El propio hallazgo de Apple está en el componente Core Bluetooth de iPhone 5s y más tarde, iPad Air y más tarde, y iPod touch de 6ª generación. El error es una corrupción de memoria que permite a una aplicación ejecutar código arbitrario con privilegios del sistema.
También es notable una vulnerabilidad (CVE-2018-4313) acreditada a 11 investigadores anónimos y otros cinco más que declararon sus nombres. Estaba presente en la aplicación Safari y Mensajes y permitía a un usuario local leer mensajes eliminados o revelar sitios web visitados.
Safari 12 combate el spoofing y la exfiltración de datos
El primero en la lista de problemas resueltos es el error reportado por Rafay Baloch, que podría permitir la exfiltración de datos autocompletados por Safari. La falla es una amenaza para los dispositivos móviles no reparados de Apple, así como en macOS Sierra y High Sierra.
Otra solución se refiere a un problema con la eliminación del historial del navegador, que no eliminó todos los registros, atribuidos a Hugo Díaz.
El investigador de seguridad xisigr de Tencent Lab fue reconocido por encontrar CVE-2018-4195, un error de seguridad que podría conducir a la suplantación de interfaz cuando el usuario visitaba un sitio web malicioso.
Lo que Apple parece haber perdido con estas actualizaciones es la protección contra el ataque descubierto por el investigador de seguridad Sabri Haddouche, e informado por BleepingComputer durante el fin de semana.
Si ya has actualizado a iOS 12, hay una función que debes activar, solo para asegurarte de que los hackers comunes no puedan pasar por alto la pantalla de bloqueo de tu iPhone: Modo Restringido USB.
Fecha actualización el 2021-09-18. Fecha publicación el 2018-09-18. Categoría: ios. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer