Investigadores del Proyecto Cero de Google, que tiene la tarea de buscar errores en el software, han descubierto un puñado de ataques de iOS.
ZDNet tiene el informe esta semana. Un par de miembros del Proyecto Cero pudieron identificar seis fallas de seguridad relacionadas con iOS. Cinco de los seis tienen código de prueba de concepto ya publicado, junto con demostraciones de cómo funcionan. Específicamente, los investigadores señalan que estos exploits podrían manejarse a través del cliente iMessage.
Sin embargo, la buena noticia es que los seis exploits ya se han parcheado con el lanzamiento público de iOS 12.4. Por lo tanto, si bien estos últimos problemas de seguridad ya se han solucionado, lo que reduce significativamente su efectividad, es un recordatorio de que mantenerse actualizado con el software que usa todos los días es de vital importancia..
Vale la pena señalar que uno de los errores en este caso todavía se mantiene en secreto (al menos por ahora), porque si bien iOS 12.4 parchó los seis, uno de los autobuses no se resolvió por completo, al menos según Natalie Silvanovich, Uno de los investigadores que descubrió los errores. Samuel Groß es el otro investigador que descubrió los errores..
Según el investigador, cuatro de los seis errores de seguridad pueden conducir a la ejecución de código malicioso en un dispositivo iOS remoto, sin necesidad de interacción del usuario. Todo lo que un atacante debe hacer es enviar un mensaje con formato incorrecto al teléfono de la víctima, y el código malicioso se ejecutará una vez que el usuario abra y vea el elemento recibido..
Los cuatro errores son CVE-2019-8641 (detalles privados), CVE-2019-8647, CVE-2019-8660 y CVE-2019-8662. Los informes de errores vinculados contienen detalles técnicos sobre cada error, pero también código de prueba de concepto que puede usarse para crear exploits.
Los errores quinto y sexto, CVE-2019-8624 y CVE-2019-8646, pueden permitir que un atacante filtre datos de la memoria de un dispositivo y lea archivos de un dispositivo remoto, también sin interacción del usuario.
La búsqueda de errores puede conducir a pagos lucrativos. Como se señaló en el informe original, este tipo de vulnerabilidades pueden generar más de $ 1 millón para el investigador. Como tal, es probable que este conjunto de problemas de seguridad haya podido generar más de $ 5 millones, pero también podría haber sido valorado hasta $ 24 millones considerando que funcionaban en versiones recientes de iOS.
Básicamente, asegúrese de actualizar a iOS 12.4 tan pronto como sea posible si aún no lo ha hecho.
