Apple informó recientemente sobre varias alertas de vulnerabilidad que afectan a una gran cantidad de dispositivos con sistema operativo iOS, gracias a los datos recogidos por el servicio Vulnerabilidades y Exposiciones Comunes (CVE, por sus siglas en inglés) del Gobierno de Estados Unidos.
Según explica el Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) de Chile, son 81 las alarmas emitidas, destacando la que indica que “una aplicación maliciosa puede ser capaz de ejecutar accesos directos arbitrarios sin el consentimiento del usuario" y otra que provoca que el análisis de un archivo conduzca a la divulgación de información del usuario.
¿Cuáles son los dispositivos de Apple afectados?
Los productos afectados dependerán de la versión de iOS, pues la 18.1 permitió arreglar estas fallas. Si tienes dispositivos con ediciones anteriores a las que te dejamos a continuación, es importante que lo actualices para no verse afectado por los muchos problemas de seguridad que poseen:
| Dispositivo | Versiones |
|---|---|
| Apple iOS | Anteriores a 18.1 |
| Apple iPadOS | Anteriores a 18.1 |
| Apple Safari | Anteriores a 18.1 |
| Apple macOS Sequoia | Anteriores a 15.1 |
| Apple macOS Sonoma | Anteriores a 14.7.1 |
| Apple macOS Ventura | Anteriores a 13.7.1 |
En cuanto a las aplicaciones específicas que fueron afectadas, Apple compartió la información completa al respecto, junto a la razón del problema y la solución entregada junto a la actualización del sistema. Puedes ver algunas de las más importantes con fallas a continuación:
| Aplicación afectada | Impacto | Solución |
|---|---|---|
| Accesibilidad | Un atacante con acceso físico a un dispositivo bloqueado puede ser capaz de ver información sensible del usuario | Se mejoró la autenticación |
| App Support | El análisis de un archivo de video malicioso puede provocar la finalización inesperada del sistema | Se mejoraron las comprobaciones de límite |
| AppleAVD | Una aplicación maliciosa podría acceder a información privada | Se abordó con un manejo mejorado de los enlaces simbólicos |
| CoreMedia Playback | Una app maliciosa podría acceder a información privada | Se mejoró el manejo de los enlaces simbólicos |
| iTunes | Un atacante remoto puede ser capaz de salir de la sandbox de contenido web | Se abordó un problema de manejo de esquema de URL personalizado con validación de entrada mejorada. |
| Kernel | Una app puede ser capaz de filtrar estado sensible del kernel | Se realizó una redacción de datos privados mejorada para las entradas de registro |
| Explorador privado de Safari | La navegación privada puede filtrar parte del historial de navegación | Se aplicó una validación adicional |
| Siri | - Una app puede acceder a datos sensibles del usuario - Un atacante con acceso físico puede ser capaz de acceder a las fotos de los contactos desde la pantalla de bloqueo - Una aplicación puede acceder a datos confidenciales del usuario. | - Se mejoró la redacción de la información sensible. - Se restringieron las opciones ofrecidas en un dispositivo bloqueado. - Se ha solucionado un problema lógico con una gestión de estados mejorada. |
