Apple y Google parchean KRACK entre otras vulnerabilidades

Apple ha publicado siete boletines de seguridad que solucionan fallos para sus productos iOS, watchOS, macOS, tvOS, Safari y iTunes y iCloud para Windows. En total se corrigen 238 fallos de seguridad entre los que se encuentra KRACK.

Apple ha aprovechado el día de Halloween para lanzar su nueva actualización de seguridad que da solución a KRACK, una grave vulnerabilidad en WPA/WPA2 de la que ya hablamos en esta entrada. El fallo ha sido corregido de todos los dispositivos de Apple con soporte, entre los que se encuentran iOS, macOS High Sierra, tvOS y watchOS.

Google ha hecho lo mismo en su plataforma Android, publicando un nuevo boletín de seguridad y facilitando un numeroso conjunto de parches que corrigen hasta 31 vulnerabilidades distintas, nueve de ellas de nivel crítico. Para facilitar la tarea de despliegue de los mismos entre los diferentes partners, Google ha publicado 3 boletines conjuntos.

En concreto, el boletín 2017-11-01 se centra en las vulnerabilidades corregidas en Framework, Media Framework y System, ya que 6 de ellas permitirían la ejecución remota de código.En cambio, en el 2017-11-05 se corrigen aquellas presentes en los componentes del Kernel, MediaTek, Nvidia y sobre todo Qualcomm, apartado que adolece de las vulnerabilidades más críticas, relacionadas con el módulo WLAN y que han recibido 3 CVEs (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) por ejecución remota de código.

Estas vulnerabilidades fueron reportadas y analizadas en su blog por el investigador y desarrollador Scott Bauer (@scottybauer1), centradas en el controlador WiFi qcacld de Qualcomm/Atheros, y afectando a los dispositivos Pixel y Nexus 5x.

Finalmente, en el boletín 2017-11-06 se solucionan hasta 9 vulnerabilidades de elevación de privilegios, relacionadas con el ataque KRACKs y que, en el caso de Android, el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key).

Fuente: Hispasec