Apple lanza actualizaciones de seguridad que corrige múltiples vulnerabilidades

Apple ha lanzado actualizaciones de seguridad que corrigen 3 fallos de zero-day clasificadas como de “riesgo extremadamente alto” y otras vulnerabilidades en sus productos iOS, iPadOS, watchOS, tvOS, iCloud para Windows y Xcode, que están actualmente siendo explotadas activamente y que podrían provocar que un atacante tome el control del sistema afectado, acceder a ficheros de forma arbitraria, ejecutar código o elevar privilegios y causar denegación de servicios.

Además emitió correcciones de seguridad para otras fallas que afectan a sus productos Xcode y iCloud para Windows.

Productos afectados

Los dispositivos afectados incluyen

  • iPhone 6s y posteriores
  • iPad Air 2 y posteriores
  • iPad mini 4 y posteriores
  • iPod touch de séptima generación
  • Apple Watch (watchOS 7)
  • Apple TV (tvOS 14.4 )

A continuación las vulnerabilidades encontradas con sus respectivos identificadores asignados

Vulnerabilidades en iOS e iPadOS

Son 3 fallos de seguridad calificados como de riesgo extremadamente alto, y que están siendo explotados activamente, identificados como:

  • Los CVE-2021-1870CVE-2021-1871, que contienen errores localizados en el componente ‘WebKit’ y podrían causar la ejecución arbitraria de código en el sistema a través de la visita a un sitio web malicioso.
  • El CVE-2021-1872, que se trata de un fallo de una condición de carrera en el ‘Kernel’ que podría permitir a un atacante la elevación de privilegios en el sistema afectado.

Se trata de un fallo en Kernel y dos en Webkit, unos agujeros de seguridad que podrían haber sido aprovechados, de manera silenciosa, por ataques maliciosos. O, dicho de otra manera, una vulnerabilidad que daba acceso al núcleo del dispositivo y dos que permitían que el motor que lanza Safari sea accesible por un tercero, sin que el usuario sea consciente de que alguien ha conseguido entrar en el dispositivo. Básicamente, se trataba de dos ‘llaves’ y una ‘puerta’ abiertas para que los ‘atacantes’ consiguieran hacerse con información sensible del dispositivo.

Vulnerabilidades en watchOS y tvOS

CVE-2021-1761CVE-2021-1797CVE-2021-1760CVE-2021-1747CVE-2021-1776CVE-2021-1772CVE-2021-1792CVE-2021-1786CVE-2021-1787CVE-2021-1791CVE-2021-1758CVE-2021-1773CVE-2021-1766CVE-2021-1785CVE-2021-1744CVE-2021-1818CVE-2021-1746CVE-2021-1741CVE-2021-1778CVE-2021-1783CVE-2021-1757CVE-2021-1748CVE-2021-1764CVE-2021-1750CVE-2021-1782CVE-2021-1769CVE-2021-1788CVE-2021-1789CVE-2021-1801CVE-2021-1799CVE-2021-1759CVE-2021-1766CVE-2021-1785CVE-2021-1818CVE-2021-1746, CVE-2021-1793CVE-2021-1743CVE-2021-1778.

Correspondiente a Analytics, APFS, CoreAnimation, CoreAudio, CoreGraphics, CoreMedia, CoreText, Reporte de accidente, FairPlay, FontParser, IOSkywalkFamily, iTunes Store, Kernel, Swift, WebKit, WebRTC, ImageIO. Afecta a Apple TV 4K, Apple TV HD y Apple Watch Series 3 y posterior.

El CVE-2021-1761, (Analytics) que afecta a Apple TV 4K y Apple TV HD, permitiría a un atacante remoto provocar una denegación de servicio. Este problema se soluciono mejorando las comprobaciones.

El CVE-2021-1797 (APFS), que afecta a Apple TV 4K y Apple TV HD, permitiría a un usuario local podría leer archivos arbitrarios. El problema se solucionó mejorando la lógica de permisos.

El CVE-2021-1760 (CoreAnimation), que afecta a Apple TV 4K y Apple TV HD, permitiría a una aplicación malintencionada ejecutar código arbitrario que comprometa la información del usuario. Se solucionó un problema de corrupción de la memoria mejorando la administración del estado.

Vulnerabilidades en iCloud para Windows

Los CVE-2020-29611, CVE-2020-29618CVE-2020-29617CVE-2020-29619, correspondiente a ImageIO que afecta a Windows 10 y posterior a través de Microsoft Store, permitirá el procesamiento de una imagen creada con fines maliciosas provocando la ejecución de código arbitrario.

Se describen las mejoras aplicadas

  • Se solucionó un problema de escritura fuera de límites mejorando la verificación de límites.
  • Se solucionó una lectura fuera de límites con una validación de entrada mejorada.

Vulnerabilidades en Xcode

El CVE-2021-1800 correspondiente a IDE de Xcode, que afecta a macOS Catalina 10.15.4 y posterior, permitiría a una aplicación maliciosa acceder a archivos arbitrarios en el dispositivo host mientras ejecuta una aplicación que usa recursos a pedido con Xcode. Se solucionó un problema de manejo de rutas mejorando la validación.

Recomendaciones

Referencias

Compartir: