Noticias
Apple publica actualizaciones de seguridad para macOS, iOS, iPadOS y WatchOS
Como seguramente ya sabrás, uno de los elementos comunes de los sistemas operativos de Apple es Safari y su motor, WebKit. Lo que no tantos usuarios saben es que todos los navegadores en iOS están obligados a emplear WebKit. Sí, aunque emplees Chrome, Firefox, Edge, Opera o cualquier otro, las versiones para iOS de los mismos no emplean sus motores originales, sino que están obligadas por Apple a pasar por WebKit.
Esto, claro, se traduce en que un problema de seguridad de WebKit en iOS ataca, potencialmente, a todos los navegadores disponibles para el sistema operativo. Esta es solo una de las razones por las que la política de Apple a este respecto me parece bastante inadecuada, y casos como el que nos ocupa ahora es un ejemplo claro de ello, y es que los de Cupertino han tenido que publicar, con urgencia, actualizaciones de seguridad para sus sistemas operativos, con el fin de solucionar tres fallos identificados.
- CVE-2021-30663: Una vulnerabilidad de desbordamiento de enteros que podría ser explotada para elaborar contenido web malicioso, lo que podría llevar a la ejecución de código. El fallo se soluciona con una validación de entrada mejorada.
- CVE-2021-30665: Un problema de corrupción de memoria que podría ser explotado para crear contenido web malicioso, lo que podría conducir a la ejecución de código. El fallo se soluciona con la mejora de la gestión de estados.
- CVE-2021-30666: Una vulnerabilidad de desbordamiento del búfer que podría ser explotada para elaborar contenido web malicioso, lo que podría conducir a la ejecución de código. El fallo se soluciona con la mejora de la gestión de memoria.
Como puedes ver, los tres problemas pueden ser explotados mediante webs confeccionadas específicamente para atacar esas fallas, de lo que puedes deducir que, efectivamente, el problema se encuentra en WebKit. La buena noticia es que estos problemas se han hecho públicos cuando Apple ya ha publicado las actualizaciones de seguridad necesarias para solucionarlos. Estas son las versiones actualizadas de los sistemas operativos de Apple, en las que este agujero de seguridad ha sido resuelto:
- iOS 14.5.1
- iPadOS 14.5.1
- macOS 11.3.1
- watchOS 7.4.1
Un detalle importante es que CVE-2021-30666 solo afecta a los dispositivos Apple más antiguos, como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación). La actualización de iOS 12.5.3 , que corrige esta falla, también incluye una solución para CVE-2021-30661. Como es habitual, Apple dijo estar al tanto de que estos problemas podrían estar siendo explotados en la actualidad, por lo que es urgente actualizar los operativos.
Esta es la segunda actualización de seguridad urgente para usuarios de macOS en pocos días, recordemos que hace solo una semana se publicó otra para solucionar la vulnerabilidad CVE-2021-30657, cuya naturaleza todavía no se ha revelado, pero que también se supo que ya estaba siendo explotada in the wild.