21 jul. 2016

Apple soluciona 42 vulnerabilidades y el error del MMS "asesino"

El fallo identificado como CVE-2016-4631 se encuentra presente en ImageIO, API utilizada para manipular los datos de una imagen y funciona en todos los sistemas operativos utilizados actualmente por Apple, incluyendo Mac OS X, tvOS y watchOS.

Tyler Bohan, un investigador de Cisco Talos, ha descubierto este error en iOS similar a Stagefright en Android y también lo ha calificado de "extremadamente critico". Todo lo que el atacante tiene que hacer es enviar una imagen modificada especialmente y enviarla a través de un mensaje multimedia (MMS) o de iMessage dentro de un TIFF (Tagged Image File Format).

Una vez que el mensaje es recibido por el dispositivo de la victima, comienza el ataque. "El receptor de un MMS no puede prevenir cuando le llega, por lo que se puede enviar el exploit y lo recibirá cada vez que el teléfono esté en línea" dijo Bohan.

El ataque también se puede dar a través del navegador Safari. Para ello, el atacante debe convencer a la víctima de que visite una página en la que este cargado el código malicioso. En cualquiera de los casos, no es necesaria la interacción explicita del usuario para comenzar el ataque ya que muchas aplicaciones (como iMessage) intentarán renderizar automáticamente las imágenes que reciben a sus configuraciones por defecto.

Para la víctima
es muy difícil es detectar un ataque en caso de que se ejecute y, con ello, aumentan las posibilidades de robo de datos personales, bancarios, contraseñas de sitios web, de tu Wi-Fi particular, las contraseñas de tu correo.

Desde que iOS incluye la denominada como Sandbox Protection, los atacantes tienen que controlar todo el dispositivo mediante un jailbreak del sistema o controlar el iPhone de forma total ya que esta impide que únicamente tomen el control de una parte. En cambio, Mac OS X no cuenta con este tipo de protección por lo cual es vulnerable a que un atacante acceda de forma remota a él.

De acuerdo con la nota publicada por Apple, ya ha parcheado este problema tan crítico en la versión 9.3.3 de iOS junto con otros parches para otras 42 vulnerabilidades, incluyendo errores en la memoria CoreGraphics de iOS, que ayuda a representar gráficos 2D.

También ha solucionado el grave fallo que tenía FaceTime tanto en iOS como OS X , el cual permitía que cualquier persona conectada a la misma red Wi-Fi que el usuario espiase la transmisión de audio de las llamadas de FaceTime y siguiese "escuchando" aun cuando estas habían acabado.


Por esto es recomendable aplicar los parches de seguridad que se van publicando, ya que de esta forma ciberdelincuentes no pueden aprovecharse de estas vulnerabilidades.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!