Cabecera-v2-web.jpg

Apple parchea Broadpwn entre otras vulnerabilidades en sus últimos boletines


Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en otros tantos de sus productos: iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. En total se corrigen 208 fallos de seguridad entre ellos el célebre "BroadPwn".

"BroadPwn" es el nombre con el que se ha bautizado una vulnerabilidad crí­tica en chipsets Wi-Fi de Broadcom que podrí­a comprometer remotamente y sin interacción del usuario a los dispositivos afectados. Concretamente, el fallo de seguridad se encuentra en chips de la familia BCM43xx, los cuales son ampliamente utilizados en la industria. Así­ nos encontramos con que millones de dispositivos Android de diversos fabricantes (HTC, LG, Nexus y Samsung entre otras) y de Apple (en este caso iOS, macOS, watchOS y tvOS) se encuentran afectados.

Por su parte, Google solventó esta vulnerabilidad, con identificador CVE-2017-9417, en su boletí­n mensual del 5 de julio, mientras que Apple ha presentado la solución en sus boletines del 19 de este mes.

La vulnerabilidad "BroadPwn" ha sido descubierta por Nitay Artenstein de Exodus Intelligence, quien la presentará en los próximos dí­as en la Black Hat USA 2017, donde explicará cómo encontró el error y mostrará una prueba de cómo aprovecharlo para lograr la ejecución de código.

Volviendo a los boletines de Apple, dada la gran cantidad de productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados:

El sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod…), iOS 10.3.3, resuelve 47 vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen CoreAudio, Contacts, Messages, Notifications, Telephony, el kernel y WebKit, entre otros. 33 de las vulnerabilidades podrí­an permitir la ejecución de código.

También se ha publicado la versión 10.12.6 de OS X Sierra y el Security Update 2017-003 para El Capitan y Yosemite. En este caso se solucionan 37 nuevas vulnerabilidades que afectan a múltiples y muy diversos componentes, que entre otros incluyen a Audio, Wi-Fi, Bluetooth, controladores gráficos, y el kernel. La ejecución de código podrí­a ser el impacto potencial provocado por 25 de estos errores de seguridad.

Las actualizaciones también incluye a Safari, el navegador web de Apple, que se actualiza a la versión Safari 10.1.2 para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, and macOS Sierra 10.12.6. Se solucionan 25 vulnerabilidades debidas a problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. 19 de estas vulnerabilidades son de alta gravedad y podrí­an permitir la ejecución de código.

De forma similar, Apple publica watchOS 3.2.2, destinada a su reloj inteligente o "smartwatch" Apple Watch. con la que se solucionan hasta 16 vulnerabilidades, la mayorí­a de ellas (12) podrí­an permitir la ejecución remota de código arbitrario.

Apple también ha publicado tvOS 10.2.2, para sus televisores, que corrige 38 vulnerabilidades en múltiples componentes, de las cuales 31 son graves.

También se ha publicado iTunes 12.6.2 para Windows 7 y posteriores, una versión menor que incluye la corrección de 23 vulnerabilidades.

Por último, Apple ha publicado la actualización 6.2.2 de iCould para Windows 7 y posteriores 22 problemas de seguridad.



Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11