Parche sus Mac, personas y sus relojes Apple y iPhones, iPads y iPod Touch más antiguos.
Apple publicó ayer (26 de septiembre) una actualización de emergencia para Mac para corregir una falla que permitiría a un "atacante remoto … causar la terminación inesperada de la aplicación o la ejecución de código arbitrario".
En términos sencillos, eso significa que un pirata informático podría acceder a su Mac desde Internet y ejecutar código malicioso o cerrar aplicaciones legítimas. No hace falta decir que eso es muy malo.
Ayer también se emitieron parches para watchOS (5.3.2) e iOS 12 (12.4.2) para corregir el mismo defecto. Los nuevos iPhones, iPads y iPods se solucionaron la semana pasada con el lanzamiento de iOS 13, pero muchos dispositivos iOS más antiguos, como el iPhone 5s, 6 y 6 Plus, tienen que seguir con iOS 12.
Los parches de Mac son para las últimas tres versiones de macOS: 10.14 Mojave, 10.13 High Sierra y 10.12 Sierra, pero no obtendrá un nuevo número de versión para su compilación. Es probable que las versiones anteriores y no compatibles de macOS / OS X también se vean afectadas. (Si todavía está ejecutando uno de esos, es hora de actualizar).
Aclarando un misterio
Apple no dice mucho más sobre la falla, aparte de que implica "una lectura fuera de los límites [que] se abordó con una validación de entrada mejorada", fue descubierta por los investigadores de Google Project Zero, Samuel Groß y Natalie Silvanovich, y fue se le asignó el número de Vulnerabilidad y Exposiciones Comunes (CVE) CVE-2019-8641.
Pero resulta que la vulnerabilidad se remonta a varios meses atrás y quedó sin resolver mucho después de que se corrigiera una serie de fallas similares.
Esta mañana (27 de septiembre), Paul Ducklin de Sophos conectó los puntos y descubrió que esta es la última de varias fallas principalmente de iOS que Groß y Silvanovich revelaron durante el verano, y la única de esas fallas que permanece sin explicación y sin parchear. casi dos meses.
Puede recordar que hubo una serie de fallas de Apple Messages reveladas a fines de julio, que Apple corrigió en su mayoría con iOS 12.4. Algunas de las fallas habrían permitido que los piratas informáticos se apoderaran de los iPhones simplemente enviando un mensaje especialmente diseñado.
Como es el procedimiento estándar, los investigadores de Project Zero explicaron exactamente cómo funcionaban los errores después de que Apple emitiera iOS 12.4. Pero guardaron información sobre un defecto porque sentían que iOS 12.4 no lo solucionó por completo.
"Estamos reteniendo CVE-2019-8641 hasta su fecha límite porque la corrección en el aviso no resolvió la vulnerabilidad", escribió Silvanovich en Twitter el 29 de julio.
La falla misteriosa permaneció sin revelar durante dos meses más, incluso cuando Silvanovich y Groß llevaron su investigación a la carretera y presentaron sus hallazgos en la conferencia de seguridad de Black Hat en agosto, y cuando Apple actualizó iOS a la versión 12.4.1 y lanzó un "complementario" Actualice a macOS Mojave 10.14.6.
Finalmente, divulgación completa
Ahora que todo está realmente arreglado, el gato está fuera de la bolsa. Silvanovich silenciosamente hizo públicos los detalles de CVE-2019-8641 el lunes (23 de septiembre), después del lanzamiento de iOS 13, en una publicación de blog de Project Zero.
Su explicación de la vulnerabilidad está más allá de la comprensión para cualquiera que no esté bien versado en el funcionamiento interno de iOS, pero señaló que "este problema aún no se ha solucionado para Mac y iPad, pero ahora es solo una vulnerabilidad local debido al cambio en 12.4 .1. "
Esas vulnerabilidades locales, presumiblemente, ahora se han solucionado con la actualización de iOS 12.4.2 y los parches de macOS.
Crédito de la imagen: blackzheep / Shutterstock