Los productos y soluciones de Apple no están exentos de las fallas de seguridad. Después de una consultoría de ciberseguridad, un grupo de investigadores descubrió múltiples vulnerabilidades en Apple iCloud que podrían ser explotadas por actores de amenazas para esquivar las restricciones de seguridad, generar condiciones de denegación de servicio, ejecutar código arbitrario en el sistema objetivo, desplegar ataques de secuencias de scripts entre sitios (XSS) y obtener información confidencial de las víctimas.
Estas fallas fueron reportadas el pasado 25 de marzo, y se les considera de alta gravedad. A continuación, los especialistas de la consultoría de ciberseguridad presentan una breve explicación de cada una de estas vulnerabilidades, junto con su respectiva clave del Common Vulnerability Scoring System (CVSS).
CVE-2020-9783: Esta es una vulnerabilidad lógica en WebKit que podría ser explotada para esquivar las restricciones de seguridad en el sistema objetivo.
CVE-2020-3909: Falla de desbordamiento del búfer en libxml2 que puede explotarse para generar una condición de denegación de servicio (DDoS) en el sistema de la víctima.
CVE-2020-3910: Esta es una vulnerabilidad de corrupción de memoria en WebKit que ser explotada empleando una página web especialmente diseñada para ejecutar código arbitrario.
CVE-2020-3887: una vulnerabilidad de confusión de tipos en WebKit que puede explotarse a través de una página web especialmente diseñada para ejecutar código arbitrario.
CVE-2020-3895: una vulnerabilidad de validación de entrada en WebKit que podría ser explotada usando una página web especialmente diseñada para realizar ataques XSS.
CVE-2020-3894: una vulnerabilidad de condición de carrera en WebKit que podría ser explotada para obtener información confidencial del usuario objetivo.
CVE-2020-3901: una vulnerabilidad de confusión de tipos en WebKit que los actores de amenazas podrían explotar de forma remota para ejecutar código arbitrario.
CVE-2020-3899: Esta es una vulnerabilidad use-after-free en WebKit que puede ser explotada a través de una página web especialmente diseñada y desencadenar la ejecución de código arbitrario.
CVE-2020-3900: Una vulnerabilidad de consumo de memoria en WebKit que puede explotarse de forma remota para ejecutar código arbitrario.
CVE-2020-3897: Una vulnerabilidad lógica en la página de carga de WebKit que puede ser explotada para esquivar las restricciones de seguridad.
Aún no se han lanzado las correcciones correspondientes, por lo que expertos en consultoría de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) recomienda consultar las plataformas oficiales de la compañía desarrolladora para conocer más sobre estas fallas y la fecha de lanzamiento de las actualizaciones.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad