Además de solucionar el error de escuchas grupales FaceTime en iPhone, iPad y Mac con la actualización de software iOS 12.1.4 y la actualización complementaria macOS Mojave 10.14.3, Apple también ha resuelto un importante problema de seguridad encontrado recientemente en su aplicación Shortcuts para iPhone y iPad.
Como informamos la semana pasada, la aplicación estuvo plagada de una supervisión importante que permitió a un atacante crear y distribuir un atajo malicioso que recopilaría contactos, direcciones, archivos y otros datos de usuario y enviaría un archivo ZIP a través de iMessage a un atacante en segundo plano..
Aunque las notas de la versión de App Store que acompañan a la actualización de Shortcuts 2.1.3 de hoy mencionan solo correcciones de errores y mejoras no especificadas, un documento de soporte en el sitio web de Apple ofrece información detallada sobre el contenido de seguridad de la actualización.
Por la presente, libero el acceso directo malicioso POC (https://t.co/xa2KGHGnLL) que fue mencionado por
- Avimanyu Roy (@ AvimanyuRoy3) 31 de enero de 2019
@twolivesleftand por @EdFromFreelance en su artículo!
Fyi: apple no trata esto como un error sino como un comportamiento previsto "... así que sí ... :) deja que haga su trabajo.
Fotos / videos a continuación (como señaló @bzamayo.
El primer error permitió a un usuario local ver información confidencial del usuario debido a un problema de análisis en el manejo de rutas de directorio que se abordó con una validación de ruta mejorada.
El otro defecto, que eludió las restricciones de sandbox de Apple, también se solucionó. El documento de seguridad acredita a Avimanyu Roy por informar estos problemas.
"Nos gustaría agradecer a Sem Voigtländer de Fontys Hogeschool ICT por su ayuda", dice el documento.
Shortcuts es una descarga gratuita de las tiendas de aplicaciones.
