Apple lanzó el lunes iOS 12.2 para parchear un total de 51 vulnerabilidades de seguridad en su sistema operativo móvil que afecta al iPhone 5s y posteriores, al iPad Air y posteriores, y al iPod touch de sexta generación.
La mayoría de las vulnerabilidades que Apple reparó este mes residen en su motor de renderizado web WebKit, que es utilizado por muchas aplicaciones y navegadores web que se ejecutan en el sistema operativo de Apple.
Según el aviso, simplemente abrir un contenido web creado con fines malintencionados utilizando cualquier aplicación vulnerable basada en WebKit podría permitir a los atacantes remotos ejecutar código arbitrario, divulgar información confidencial del usuario, eludir las restricciones de la zona de pruebas o lanzar ataques universales de secuencias de comandos entre sitios en el dispositivo.
Entre las vulnerabilidades de WebKit se incluye un problema de coherencia (CVE-2019-6222) que permite que los sitios web maliciosos accedan potencialmente al micrófono de un dispositivo iOS sin que se muestre el indicador de «micrófono en uso».
Se corrigió una vulnerabilidad similar (CVE-2019-8566) en la API ReplayKit de Apple que podría permitir que una aplicación maliciosa acceda al micrófono del dispositivo iOS sin alertar al usuario.
«Existía un problema de API en el manejo de los datos del micrófono. Este problema se solucionó con una validación mejorada», dice Apple en su informe informativo sobre el error de ReplayKit.
Apple también corrigió un error lógico grave (CVE-2019-8503) en WebKit que podría haber permitido que sitios web maliciosos ejecutaran scripts en el contexto de otro sitio, permitiéndoles robar su información almacenada en otros sitios o lanzar una amplia gama de ataques en línea.
Además de los problemas de WebKit, el aviso también reveló la existencia de una falla crítica en versiones anteriores de iOS que podría conducir a la ejecución de código arbitrario simplemente convenciendo a las víctimas para que hagan clic en un enlace de SMS malicioso.
La vulnerabilidad de SMS, identificada como CVE-2019-8553, parece afectar a los dispositivos iPhone 5s y posteriores, iPad Air y posteriores, y iPod touch de sexta generación.
Apple también ha reparado un total de seis vulnerabilidades en el kernel de iOS, de las cuales CVE-2019-8527 podría permitir que un atacante remoto bloquee el sistema o corrompa la memoria del kernel, CVE-2019-8514 podría usarse para elevar los privilegios y el resto permitir ataques maliciosos. aplicaciones para leer el diseño de la memoria.
Los detalles técnicos y el código de prueba de concepto para las fallas recientemente parcheadas aún no están disponibles.
Para verificar la actualización en su iPhone o iPad, vaya a Configuración → General → Actualización de software y haga clic en el botón ‘Descargar e instalar’.