Apple lanza actualización de seguridad contra dos vulnerabilidades inéditas

Ago 19, 2022 | Privacidad

Apple lanzó nuevas actualizaciones de seguridad para sus dispositivos iPhone, iPads y Macs el jueves 18 de agosto, con la finalidad de arreglar dos vulnerabilidades inéditas que han sido explotadas por atacantes, informó el sitio de tecnología TechCrunch.

De acuerdo con la companía, estas vulnerabilidades afectan los sistemas operativos de iOS, iPadOS y macOS versión Monterey, en dispositivos y posteriores de iPhone 6s, iPad Air 2, iPad 5, iPad mini 4, iPod Touch 7, y todos los modelos iPad Pro.

Las vulnerabilidades fueron encontradas en Webkit ─el motor de navegador para Safari y otras aplicaciones─ y en el kernel ─el núcleo del sistema operativo─.

La primera vulnerabilidad podía ser explotada si se accedía o procesaba contenido web malicioso, lo que podía provocar que se ejecutara código arbitrario; mientras que la segunda permitía que una aplicación maliciosa ejecutara códigos con privilegios de administrador, lo que le otorgaría acceso completo al dispositivo.

Se cree que ambas vulnerabilidades estaban asociadas, ya que algunos de los spyware más avanzados utilizan más de una vulnerabilidad en conjunto para evitar las protecciones en los dispositivos.

Las vulnerabilidades inéditas son uno de los mecanismos más comunes que utilizan las empresas de tecnología de vigilancia para infectar dispositivos. Por ejemplo, en octubre de 2021, Apple publicó otras actualizaciones de seguridad tras descubrirse el exploit conocido como FORCEDENTRY que se cree fue utilizada con el malware Pegasus, permitiría realizar ataques remotos sin clic (zero-clic) dirigidos a la aplicación iMessage.

En aquella ocasión, el Citizen Lab de Toronto identificó un vector de ataque inédito que no requería interacción del usuario al analizar el teléfono de un activista saudí.

Ante la revelación, es importante que todas las personas usuarias de Apple hagan la actualización del sistema operativo de sus dispositivos, en especial aquellas que por su actividad pudieran estar en mayor riesgo de un ataque sofisticado, como personas activistas, periodistas o defensoras de derechos humanos.

Además, cabe recordar que para otoño de 2022, la empresa tiene contemplado el lanzamiento de su modo ultraseguro, Lockdown Mode, para recer protección especializada a personas usuarias que estén en riesgo de ser objetivo de intervenciones con tecnología de vigilancia.


Imagen (CC BY) Gibrán Aquino

Publicaciones relacionadas

Organizaciones presentan Protocolo Modelo contra acoso y hostigamiento sexual y laboral

Organizaciones presentan Protocolo Modelo contra acoso y hostigamiento sexual y laboral

El Protocolo Modelo de Prevención y Actuación en Casos de Discriminación, Acoso y Hostigamiento Sexual y Laboral (Protocolo Modelo) en Organizaciones de la Sociedad Civil es resultado del trabajo de un año entre ocho instituciones (Fundar, Artículo 19, la Red en Defensa de los Derechos Digitales, Ambulante, Serapaz, Instituto de Liderazgo Simone de Beauvoir, Equis Justicia para las Mujeres y Fondo Semillas) que se articularon para crear de “manera participativa y colectiva” para todo el sector.

¿Ciberseguridad para quién?: R3D cuestiona ausencia de sociedad civil en discusión sobre Ley de Ciberseguridad

¿Ciberseguridad para quién?: R3D cuestiona ausencia de sociedad civil en discusión sobre Ley de Ciberseguridad

“El proceso de elaboración de una ley de ciberseguridad no ha contemplado la participación equitativa de todos los actores”, señaló Grecia Macías, abogada de R3D: Red en Defensa de los Derechos Digitales, durante la sesión de Parlamento Abierto convocada el lunes 31 de octubre por la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados.