Apple lanzó el jueves actualizaciones de seguridad para corregir múltiples vulnerabilidades de seguridad en versiones anteriores de iOS y macOS que, según dice, han sido detectadas en exploits, además de expandir parches para una debilidad de seguridad previamente tapada abusada por la herramienta de vigilancia Pegasus de NSO Group que va dirigida a usuarios de iPhone.
El principal de ellos es CVE-2021-30869, un error de confusión de tipos que reside en el componente del kernel XNU desarrollado por Apple y que podría hacer que una aplicación maliciosa ejecute código arbitrario con los privilegios más altos. El gigante tecnológico con sede en Cupertino dijo que solucionó el error mejorando el manejo del estado.
El Grupo de Análisis de Amenazas de Google, al que se le atribuye haber informado de la falla, dijo que detectó que la vulnerabilidad se “usaba junto con una ejecución remota de código de N días dirigida a WebKit”.
Otras dos fallas incluyen CVE-2021-30858 y CVE-2021-30860, las cuales fueron resueltas por la compañía a principios de este mes luego de la divulgación del Citizen Lab de la Universidad de Toronto sobre un exploit previamente desconocido llamado “FORCEDENTRY” (también conocido como Megalodon) que podría infectar dispositivos Apple sin ni siquiera un clic.
Se dice que un cliente de la controvertida compañía israelí NSO Group llevó a cabo el ataque remoto CVE-2021-30860 desde al menos febrero de 2021. La escala y el alcance de la operación aún no están claros.
Se basó en iMessage como un punto de entrada para enviar código malicioso que instaló sigilosamente el software espía Pegasus en los dispositivos y exfiltró datos confidenciales sin avisar a las víctimas. El exploit también es importante por su capacidad para sortear las defensas creadas por Apple en iOS 14, llamadas BlastDoor, para evitar tales intrusiones al filtrar los datos no confiables enviados a través de la aplicación de mensajes de texto.
Los parches están disponibles para dispositivos con macOS Catalina y iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación) con iOS 12.5.4.
El desarrollo también se produce cuando los investigadores de seguridad han revelado fallas de zero-day sin parches en iOS, incluido un error de omisión de la pantalla de bloqueo y un puñado de vulnerabilidades que una aplicación podría abusar para obtener acceso a las direcciones de correo electrónico, los nombres completos y el Apple ID de los usuarios.
El investigador illusionofchaos, que reveló los últimos tres problemas, dijo que se informaron a Apple entre el 10 de marzo y el 4 de mayo. De hecho, un artículo del Washington Post publicado hace dos semanas reveló cómo la compañía tiene una “acumulación masiva” de informes de vulnerabilidad, dejándolos sin resolver durante meses, distribuye pagos monetarios más bajos a los cazadores de errores y, en algunos casos, prohíbe rotundamente a los investigadores de su Programa de Desarrolladores que presenten informes.
