Apple corrige vulnerabilidades críticas en su última actualización de iOS

Apple acaba de lanzar iOS 12.2, la actualización de su sistema operativo para corregir un total de 51 vulnerabilidades de seguridad que impactaban en iPhone 5s y modelos posteriores, iPad Air y modelos posteriores y iPod Touch de sexta generación, reportan los expertos del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS).

Según se ha reportado, la mayoría de las vulnerabilidades corregidas por Apple residen en el Web Rendering Engine Webkit, utilizado por múltiples aplicaciones y navegadores web ejecutables en el sistema operativo de la compañía. 

Acorde a los expertos del curso de ethical hacking, con tan sólo abrir cualquier clase de contenido vulnerable basado en WebKit, los usuarios podrían exponerse a ejecución de código arbitrario, filtración de información confidencial, omisión de entorno de sandbox o ataques XSS.

Entre las vulnerabilidades de WebKit corregidas se enlista CVE-2019-6222, un problema que permite a los sitios web maliciosos iniciar el micrófono del dispositivo iOS comprometido sin que se muestren señales de esta acción. Una vulnerabilidad similar (CVE-2019-8566) fue corregida en la API ReplayKit de Apple, que podría permitir que una aplicación maliciosa acceda al micrófono del dispositivo iOS sin que el usuario se dé cuenta.

La compañía también corrigió una falla crítica en WebKit. Según el reporte de la vulnerabilidad (rastreada como CVE-2019-8503) ésta habría permitido que un sitio web malicioso ejecutara scripts en el contexto de otro sitio, con lo que era posible extraer información almacenada en otros sitios, así como desplegar peligrosas variantes de ataques.

Los expertos del curso de ethical hacking mencionan que, además de los problemas de WebKit, también se corrigió una vulnerabilidad crítica en las versiones anteriores del sistema operativo de Apple que podrían llevar a la ejecución de código arbitrario a través de enlaces maliciosos incrustados en mensajes SMS.

Apple corrigió en total seis vulnerabilidades en el kernel de iOS. Una de estas fallas (CVE-2019-8527) habría permitido a los hackers bloquear sistemas o dañar la memoria del kernel de forma remota. Otra de las vulnerabilidades críticas (CVE-2019-8514) podría haber sido explotada para realizar escaladas de privilegios, entre otras acciones maliciosas.