Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Actualizaciones de seguridad importantes de Apple para iOS, iPadOS y macOS


Una vulnerabilidad en Webkit, el motor de navegador desarrollado por Apple y que utiliza el popular navegador Safari, fue reparada la semana pasada con el lanzamiento de una actualización por parte de Apple para iOS (15.3.1 ), iPadOS (15.3.1 ), macOS (12.2.1 ) y Safari (15.3). Según la compañía, se trata de una vulnerabilidad del tipo user after free que permite a un atacante procesar contenido web maliciosos especialmente diseñado y de esta manera ejecutar código arbitrario de manera remota. Además, el gigante tecnológico confirmó que está al tanto de que el fallo podría estar siendo explotado por atacantes.



Webkit RCE

  • Los ciberdelincuentes podrían estar explotando en activo una vulnerabilidad peligrosa en WebKit (CVE-2022-22620). ¡Actualiza tus dispositivos iOS lo antes posible!

 La actualización de seguridad parchea una vulnerabilidad en  AppleWebKit que ha estado siendo explotada de manera activa. ¡Se recomienda actualizar lo antes posible!

La vulnerabilidad fue registrada como CVE-2022-22620 y fue reportada por un investigador o investigadora cuyo nombre no fue revelado.

Por su parte, la agencia de seguridad norteamericana CISA reveló en un comunicado que determinó la necesidad de que las agencias que conforman la FCEB (Federal Civilian Executive Branch Agencies) actualicen para parchear la vulnerabilidad antes del 25 de febrero.

La CISA dijo tener evidencia para asegurar que actores de amenazas están explotando la vulnerabilidad de manera activa. Además, manifestó que este tipo de vulnerabilidades son vectores de ataques frecuentes para todo tipo de actores maliciosos y que por ello supone un gran riesgo al permitir ejecutar código arbitrario en dispositivos iPhone, IPad y Mac a través del navegador web Safari y también Google Chrome y Mozilla Firefox, ya que los tres utilizan el motor de navegador de código abierto Webkit.

Un dato no menor es que la CVE-2022-22620 es la tercera zero-day que Apple parchea en lo que va del 2022. Anteriormente se habían parcheado la CVE-2022-22594) y la CVE-2022-22587.

Para más información recomendamos leer la información oficial sobre la actualización de Apple para iOS y iPadOS, Safari y MacOS.

Por qué la vulnerabilidad CVE-2022-22620 es peligrosa

Como es habitual, los expertos de Apple no revelan los detalles de la vulnerabilidad hasta que se completa la investigación y la mayoría de los usuarios tienen instalados los parches. Por el momento solo han afirmado que la vulnerabilidad pertenece a la clase Use-After-Free (UAF), por lo tanto, está relacionada con el uso incorrecto de la memoria dinámica en las aplicaciones. Su explotación permite al atacante crear contenido web malicioso, cuyo procesamiento puede dar lugar a la ejecución de código arbitrario en el dispositivo de la víctima.

Es decir, el escenario de ataque más probable es una infección de un dispositivo iPhone o iPad después de visitar una página web maliciosa.

Qué dispositivos y aplicaciones quedan vulnerables a la explotación de la CVE-2022-22620

A juzgar por la descripción de este bug, la vulnerabilidad se ha encontrado en el motor WebKit utilizado en muchas aplicaciones para macOS, iOS y Linux. En particular, todos los navegadores de iOS y iPadOS se basan en este motor de código abierto, es decir, no solo el Safari predeterminado de iPhone, sino también Google Chrome, Mozilla Firefox y cualquier otro. Por tanto, aunque no uses Safari, esta vulnerabilidad te afecta directamente.

Apple ha lanzado actualizaciones para los iPhone 6s y posteriores; todos los modelos de iPad Pro, iPad Air versión 2 y posteriores, iPad a partir de la 5.ª generación, iPad mini a partir de la 4.ª generación y el reproductor multimedia iPod touch a partir de la 7.ª generación.

Actualizaciones Disponibles

Los parches que ha lanzado Apple este 10 de febrero cambian los mecanismos de gestión de la memoria y, con ello, evitan la explotación de la CVE-2022-22620. Entonces, para proteger tu dispositivo, debería bastar con instalar las actualizaciones de iOS 15.3.1 y iPadOS 15.3.1. Tu dispositivo debe estar conectado a una red wifi para instalar el parche.

Si tu dispositivo aún no te ha mostrado una notificación de que la actualización está lista para instalarse, puedes obligar al sistema a actualizarse un poco más rápido: dirígete a la configuración del sistema (Ajustes → General → Actualización de software) y comprueba la disponibilidad de actualizaciones de software.

Fuentes:

https://www.welivesecurity.com/la-es/2022/02/14/actualizacion-apple-ios-ipados-macos-repara-zero-day/

https://www.kaspersky.es/blog/webkit-vulnerability-cve-2022-22620/26913/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.