Alertan sobre un fallo de seguridad en diversos productos de Apple

Así es el iPhone 13. / Apple
Así es el iPhone 13. / Apple
La multinacional cada cierto tiempo pone a disposición de los usuarios de su software y hardware, actualizaciones que permiten un mejor funcionamiento, y especialmente un blindaje ante posibles ataques de ciberdelincuentes. 
Alertan sobre un fallo de seguridad en diversos productos de Apple

Los usuarios de los productos de Apple deben estar pendientes de un reciente anuncio que realizó la Oficina de Seguridad del Internauta (OSI)

Se trata de una alerta para que sean actualizados tan pronto sea posible, los siguientes recursos afectados por un fallo de seguridad: macOs Catalina, versiones anteriores a 2022-004, macOs Big Sur versiones anteriores a 11.6.6, macOs Monterey versiones anteriores a 12.4, iOS e IPadOS versiones anteriores a 15.5, IPhone 6s y posteriores, IPad Pro (todos los modelos), IPad Air 2 y posteriores, IPad quinta generación y posteriores, IPad Mini 4 y posteriores, IPod Touch de séptima generación, Safari versiones anteriores a 15.5.

Para actualizar el sistema operativo de un IPhone o de un IPad, lo primero que debe hacer el usuario es dirigirse a los ajustes y desde ahí a la opción General, posteriormente encontrará una pestaña que lleva por nombre Actualización de software. Únicamente tiene que presionar encima y descargará el software correspondiente. 

En caso de tratarse de un ordenador IMac, Macbook, Macbook Pro, Macbook Air, Mac Mini. Estudio Mac o Mac Pro el usuario debe llegar hasta el menú de Apple, después a Preferencias del sistema , seguido de Actualización de software. Justamente ahí podrá constatar las actualizaciones disponibles, en caso que la misma esté ya en su ordenador, se encontrará con un mensaje que dice lo siguiente: "Mac ya está actualizado".

La mayoría de las actualizaciones para solucionar un fallo de seguridad, cierra brechas que pueden ser aprovechadas por personas que se aprovechan de las debilidades de los sistemas tecnológicos computarizados, que intentarán robar información que los usuarios tienen dentro de su terminal.

"Estas vulnerabilidades podría permitir a un ciberdelincuente la ejecución de un código malicioso o causar la terminación inesperada de aplicaciones y provocar denegaciones de servicio, entre otras acciones" asegura el comunicado la OSI.

Lista completa de errores corregidos en iOS 15.5

También el sitio web IPadizate informó a los usuarios de la marca de la manzana, que ya está disponible el iOS 15.5 para "que incluye casi 30 correcciones de seguridad.  "Los errores corregidos en iOS 15.5 afectan a diversas funciones y secciones de iOS. Desde Safari hasta el Wi-Fi, pasando por muchos otros parámetros del sistema. Todos afectan a los iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.a generación y posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.a generación), y la mayoría permite ejecutar código arbitrario con privilegios sin que el usuario se percate."

A continuación la lista completa de errores que Apple corrige con esta actualización en el iOS 15.5: 

AppleAVD.

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • CVE-2022-26702: un investigador anónimo

AppleGraphicsControl

  • Impacto: el procesamiento de una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación de entrada.
  • CVE-2022-26751: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

AVEVideoEncoder

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
  • CVE-2022-26736: un investigador anónimo

DriverKit

  • Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema
  • Descripción: se ha solucionado un problema de acceso fuera de los límites mejorando la comprobación de límites.
  • CVE-2022-26763: Linus Henze de Pinauten GmbH (pinauten.de)

Controladores de GPU

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26744: un investigador anónimo

ImageIO

  • Impacto: un atacante remoto podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de desbordamiento de enteros mejorando la validación de entrada.
  • CVE-2022-26711: actae0n de Blacksun Hackers Club trabajando con Trend Micro Zero Day Initiative

IOKit

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado una condición de carrera mejorando el bloqueo.
  • CVE-2022-26701: chenyuwang (@mzzzz__) de Tencent Security Xuanwu Lab

IOMobileFrameBuffer

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26768: un investigador anónimo

IOSurfaceAccelerator

  • Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios de kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26771: un investigador anónimo

Núcleo

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación.
  • CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)

Núcleo

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • CVE-2022-26757: Ned Williamson de Google Project Zero

Núcleo

  • Impacto: un atacante que ya ha logrado la ejecución de código del núcleo podría omitir las mitigaciones de memoria del núcleo
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación.
  • CVE-2022-26764: Linus Henze de Pinauten GmbH (pinauten.de)

Núcleo

  • Impacto: un atacante malicioso con capacidad arbitraria de lectura y escritura podría omitir la autenticación de puntero
  • Descripción: se ha solucionado una condición de carrera mejorando el manejo del estado.
  • CVE-2022-26765: Linus Henze de Pinauten GmbH (pinauten.de)

LaunchServices

  • Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la caja de arena
  • Descripción: se ha solucionado un problema de acceso con restricciones adicionales de sandbox en aplicaciones de terceros.
  • CVE-2022-26706: Arsenii Kostromin (0x3c3e)

libxml2

  • Impacto: un atacante remoto podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • CVE-2022-23308

Notas

  • Impacto: procesar una entrada grande podría provocar una denegación de servicio
  • Descripción: este problema se ha solucionado mejorando las comprobaciones.
  • CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) de la Facultad de Tecnología Lakshmi Narain Bhopal

Navegación privada de Safari

  • Impacto: un sitio web malicioso podría ser capaz de rastrear a los usuarios en el modo de navegación privada de Safari
  • Descripción: se ha solucionado un problema lógico mejorando la gestión del estado.
  • CVE-2022-26731: un investigador anónimo

Seguridad

  • Impacto: una aplicación maliciosa podría omitir la validación de firmas
  • Descripción: se ha solucionado un problema de análisis de certificados mejorando las comprobaciones.
  • CVE-2022-26766: Linus Henze de Pinauten GmbH (pinauten.de)

Shortcuts

  • Impacto: una persona con acceso físico a un dispositivo iOS podría acceder a las fotos desde la pantalla de bloqueo
  • Descripción: se ha solucionado un problema de autorización mejorando la gestión del estado.
  • CVE-2022-26703: Salman Syed (@slmnsd551)

WebKit

  • Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • WebKit Bugzilla: 238178
  • CVE-2022-26700: ryuzaki

WebKit

  • Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • WebKit Bugzilla: 236950
  • CVE-2022-26709: Chijin Zhou de ShuiMuYuLin Ltd y el laboratorio de techer de alas de Tsinghua
  • WebKit Bugzilla: 237475
  • CVE-2022-26710: Chijin Zhou de ShuiMuYuLin Ltd y el laboratorio de techer de Tsinghua
  • WebKit Bugzilla: 238171
  • CVE-2022-26717: Jeonghoon Shin of Theori

WebKit

  • Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • WebKit Bugzilla: 238183
  • CVE-2022-26716: SorryMybad (@S0rryMybad) de Kunlun Lab
  • WebKit Bugzilla: 238699
  • CVE-2022-26719: Dongzhuo Zhao trabajando con ADLab de Venustech

WebRTC

  • Impacto: la autovista previa de vídeo en una llamada webRTC podría interrumpirse si el usuario responde a una llamada telefónica
  • Descripción: se ha solucionado un problema lógico en la gestión de medios simultáneos mejorando la gestión del estado.
  • WebKit Bugzilla: 237524
  • CVE-2022-22677: un investigador anónimo

Wi-Fi

  • Impacto: una aplicación maliciosa podría revelar memoria restringida
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación.
  • CVE-2022-26745: un investigador anónimo

Wi-Fi

  • Impacto: una aplicación maliciosa podría ser capaz de elevar los privilegios
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26760: 08Tc3wBB del equipo de ZecOps Mobile EDR

Wi-Fi

  • Impacto: un atacante remoto podría provocar una denegación de servicio
  • Descripción: este problema se ha solucionado mejorando las comprobaciones.
  • CVE-2015-4142: Kostya Kortchinsky del equipo de seguridad de Google

Wi-Fi

  • Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión de la memoria.
  • CVE-2022-26762: Wang Yu de Cyberserval @mundiario

Alertan sobre un fallo de seguridad en diversos productos de Apple
Comentarios