Los dispositivos Apple obtienen un parche urgente para el exploit de día cero: ¡actualice ahora!

Apple acaba de lanzar una actualización de seguridad de emergencia de «error único» para sus dispositivos móviles, incluidos iPhones, iPads y Apple Watches.

Incluso los usuarios de iPhones más antiguos que todavía tienen la versión iOS 12 con soporte oficial deben parchear, por lo que las versiones a las que debería actualizar son las siguientes:

  • iOS 14 (iPhones recientes): actualización a 14.4.2
  • iOS 12 (iPhones más antiguos): actualice a 12.5.2
  • iPadOS 14 : actualización a 14.4.2
  • watchOS : actualización a 7.3.3

Para comprobar si tiene la última versión e instalarla de inmediato si no la tiene, vaya a Configuración > General > Actualización de software .

Todo lo que Apple dice sobre la vulnerabilidad hasta ahora es que:

El procesamiento de contenido web creado con fines malintencionados puede generar secuencias de comandos universales entre sitios. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

La versión TL; DR es la siguiente: “Los delincuentes han encontrado una manera de engañar a su navegador para que les dé acceso a datos privados que se supone que no deben ver y, por lo que sabemos, ya están abusando de este error para hacer cosas malas. «

WebKit vulnerable

Al igual que el último parche de emergencia de Apple , esta vulnerabilidad afecta a WebKit, el código principal del navegador web de Apple.

Aunque WebKit en sí no es un navegador completo, no obstante es el corazón de todos los navegadores que haya usado en su iPhone, no solo el navegador Safari integrado de Apple.

Esto se debe a que Apple no permitirá aplicaciones en su dispositivo si no provienen de la App Store, y no permitirá que los navegadores ingresen a su App Store si no usan WebKit.

(De acuerdo, existen formas oficiales de instalar aplicaciones corporativas que no son de Apple en dispositivos administrados, pero para la mayoría de los usuarios, y en la mayoría de los iPhones, todas las aplicaciones provienen de Apple).

Como resultado, incluso los navegadores como Firefox (que generalmente usa el motor del navegador de Mozilla), así como Google Chrome y Microsoft Edge (que generalmente usan el motor del navegador Chromium), se ven obligados a depender internamente de WebKit cuando se ejecutan en dispositivos Apple.

Además, WebKit es el software que se ejecuta cada vez que aparece una aplicación, incluso el contenido web más básico en una ventana, por ejemplo, para mostrarle su pantalla Acerca de o para darle instrucciones sobre cómo usar la aplicación.

En otras palabras, una falla de seguridad en WebKit afecta a cualquier navegador que haya instalado, incluida la aplicación Safari incorporada de Apple, y podría afectar a muchas otras aplicaciones si tienen alguna opción de programa que abre una ventana web para mostrarle información.

XSS universal

La última vez, en enero de 2012, la actualización de emergencia de Apple corrigió dos errores que permitían a los delincuentes realizar lo que se conoce como ataques RCE y EoP, abreviatura de ejecución remota de código y elevación de privilegios .

Hablando en términos generales, RCE le permite ingresar como un usuario regular, y EoP le permite promocionarse a sí mismo como un usuario del sistema todopoderoso después de ingresar, una especie de ataque de doble juego que obviamente es muy serio y podría llevar a un compromiso total. .

Esta vez, la actualización parchea lo que se conoce como vulnerabilidad UXSS, abreviatura de scripting universal entre sitios .

Aunque UXSS no suena tan serio como RCE (lo que implica que un delincuente podría implantar malware directamente a voluntad), los errores de UXSS pueden ser devastadores para su privacidad, su seguridad y su billetera.

En pocas palabras, una falla de UXSS significa que el propio WebKit puede ser engañado para que viole uno de los principios más importantes de seguridad del navegador, conocido como Política del Mismo Origen (SOP).

SOP explicado

La Política del mismo origen dicta que solo el contenido web proporcionado por el sitio web X puede acceder a los datos almacenados, como las cookies web, que se relacionan con el sitio X.

Como probablemente sepa, las cookies web y el almacenamiento web local existen para que los sitios web puedan realizar un seguimiento de usted entre visitas.

Las cookies, por ejemplo, se pueden utilizar para almacenar las preferencias que elija; para recordar si ya aceptó un contrato de licencia o no; y para determinar si ya ha iniciado sesión y, de ser así, qué usuario.

A pesar de lo intrusivo que a veces puede ser el seguimiento web, especialmente cuando se utiliza con fines de marketing agresivos, es una parte vital de la web moderna.

Si los sitios web no pueden configurar cookies para almacenar algún tipo de token de autenticación (por lo general, una cadena larga y aleatoria de caracteres únicos para su sesión actual) para indicar que ingresó recientemente su nombre de usuario y la contraseña correcta, entonces no existiría el concepto de ser «Iniciado sesión» en un sitio web en absoluto.

Debería ingresar su nombre de usuario y contraseña cada vez que visite cualquier página del sitio; no podría decirle al sitio web «por favor, muéstreme la versión en español en lugar de la versión en inglés la próxima vez que visite»; y no habría forma de realizar un seguimiento de cosas como los carritos de la compra.

Claramente, es vital que las cookies configuradas para un sitio web no puedan ser husmeadas por otro.

Como puede imaginar, si el sitio web X pudiera enviar código JavaScript para acceder a las cookies y los datos web locales del sitio web Y, sería un desastre de seguridad.

Sin el SOP, un sitio de videos de gatos de apariencia inocente podría, si quisiera, leer las cookies de autenticación de sus cuentas de redes sociales y revisarlas en segundo plano, pretendiendo ser usted, incluso después de que haya terminado de ver las distracciones.

Sin el SOP, podrías terminar gastando dinero que no quisiste, o suscribiéndote a servicios que no deseas, o dando a los ciberdelincuentes acceso a tus datos más personales de tus perfiles en línea.

XSS y rompiendo el SOP

Los errores de XSS, donde XSS significa secuencias de comandos entre sitios , son la forma más común en que los ciberdelincuentes violan la Política del mismo origen para obtener acceso ilegal a datos privados en sus cuentas en línea.

Por lo general, los ataques XSS existen debido a errores en un sitio web específico, lo que significa que los delincuentes solo pueden atacar a los usuarios de ese sitio web.

Por ejemplo, si puedo engañar a su sitio web para que devuelva una página de resultados de búsqueda que incluye no solo el texto que acabo de buscar, sino también un fragmento de JavaScript ejecutable, entonces tengo una forma de realizar un ataque XSS contra su sitio. Esto se debe a que, cuando su sitio devuelve mi JavaScript proporcionado furtivamente dentro de una de sus propias páginas web, mi JavaScript de repente obtiene acceso a todas sus cookies y datos web locales, lo que se supone que no debo tener. Eso es suficientemente malo, pero los trucos XSS del lado del servidor generalmente solo afectan un sitio web a la vez, y el operador de ese sitio puede arreglar el agujero de seguridad para todos al parchear el servidor.

Un error de Universal XSS , que es lo que tenemos aquí, es mucho más grave y recibe el nombre de «universal» porque no se limita a un sitio web específico.

En pocas palabras, un error de UXSS generalmente significa que los atacantes pueden realizar trucos XSS directamente dentro de su navegador , de modo que:

  • Todos los sitios web que visita se ven afectados por el error , al menos en teoría, incluidos los sitios que no tienen agujeros de seguridad propios.
  • Necesita parchear la vulnerabilidad usted mismo , porque el error está en su navegador, no en ningún servidor web individual.
  • No puede eludir el error simplemente evitando servidores web específicos hasta que se hayan parcheado.

¿Qué hacer?

Como se indica en la parte superior del artículo, vaya a Configuración > General > Actualización de software para asegurarse de tener la actualización; al hacer esto, se le indicará que está bien u ofrecerá instalar la actualización si no lo está.

Hay más información disponible en las páginas de seguridad oficiales de Apple para iOS y iPadOS 14.4.2 , para iOS 12.5.2 y para watchOS 7.3.3 

FUENTE: nakedsecurity.sophos

Comments are closed.