A pesar de que la explotación de vulnerabilidades en los desarrollos de Apple es poco usual, frecuentemente se reporta el hallazgo de nuevas fallas de seguridad, cuyo alcance, acorde a los especialistas en análisis de vulnerabilidades, varía dependiendo del producto afectado.
En esta ocasión, se reportó el descubrimiento de múltiples vulnerabilidades en Xcode, Safari, iTunes para Windows, iOS, iPadOS y macOS, además del hallazgo de dos fallas potencialmente críticas en tvOS y watchOS, sistemas operativos de los productos Apple Watch y Apple TV. Acorde al reporte, la explotación de estas vulnerabilidades podría permitir la ejecución de código arbitrario.
Puede que los usuarios casuales no estén familiarizados con todos estos productos, por lo que a continuación se muestra una reseña de los desarrollos afectados por estas fallas:
- tvOS es el sistema operativo del reproductor multimedia Apple TV
- watchOS es el sistema operativo móvil para Apple Watch, basado en el ampliamente conocido sistema iOS
- Safari es el navegador incluido en los desarrollos de Apple
- El sistema iPadOS, especialmente diseñado para tabletas electrónicas. Llegó para sustituir al iOS 12
- macOS es el sistema operativo de escritorio para equipos Mac
Como mencionaron los expertos en análisis de vulnerabilidades, la explotación de las fallas críticas conduciría a la ejecución de código arbitrario por un actor de amenazas con los privilegios de un usuario autenticado. Dependiendo de los privilegios asociados al usuario objetivo, el hackers incluso podría instalar software ajeno, ver o alterar datos en el sistema, y crear nuevas cuentas con derechos de administrador.
La lista completa de sistemas operativos impactados incluye:
- iOS anterior a 13.3.1
- iPadOS anteriores a v13.3.1
- Safari anteriores a v13.0.5
- iTunes para Windows anteriores a v12.10.4
- macOS Catalina anterior a 10.15.3, Actualización de seguridad 2020-001 Mojave y Actualización de seguridad 2020-001 High Sierra
- tvOS anteriores a 13.3.1
- watchOS anteriores a 6.1.2
En promedio, se considera que la gravedad de estas fallas oscila entre niveles altos y moderados. Las fallas pueden estar presentes tanto en entornos industriales, domésticos y comerciales.
Si bien aún no se han reportado casos de explotación en escenarios reales, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de los sistemas afectados permanezcan alertas ante cualquier aviso de actualización proveniente de las plataformas oficiales de Apple. Otras recomendaciones de seguridad incluyen:
- Ejecución del software de Apple como usuario sin privilegios
- Evitar la descarga, instalación o ejecución de software o archivos de fuentes desconocidas
- Evitar la navegación en sitios web de apariencia poco confiable o listados como maliciosos
- Implementación del Principio de Privilegio Mínimo en todos los sistemas y servicios
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
