Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Fallas críticas en CocoaPods exponen aplicaciones iOS y macOS a ataques a la cadena de suministro
  • Tecnología

Fallas críticas en CocoaPods exponen aplicaciones iOS y macOS a ataques a la cadena de suministro

teknomers 1 de Temmuz de 2024 (Last updated: 1 de Temmuz de 2024) 3 minutes read
Fallas críticas en CocoaPods exponen aplicaciones iOS y macOS a


01 de julio de 2024Sala de prensaCadena de suministro / Seguridad del software

Se han descubierto tres fallos de seguridad en el Vainas de cacao Administrador de dependencias para proyectos Cocoa de Swift y Objective-C que podrían explotarse para organizar ataques a la cadena de suministro de software, poniendo en grave riesgo a los clientes posteriores.

Las vulnerabilidades permiten que “cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones iOS y macOS más populares”, dijeron los investigadores de EVA Information Security Reef Spektor y Eran Vaknin. dicho en un informe publicado hoy.

La empresa israelí de seguridad de aplicaciones dijo que los tres problemas ya se han solucionado. parcheado por CocoaPods a partir de octubre de 2023. También restablece todas las sesiones de usuario en ese momento en respuesta a las divulgaciones.

La seguridad cibernética

Una de las vulnerabilidades es CVE-2024-38368 (puntuación CVSS: 9,3), que hace posible que un atacante abuse de “Reclama tus cápsulas” procesan y toman el control de un paquete, lo que les permite alterar el código fuente e introducir cambios maliciosos. Sin embargo, esto requería que todos los mantenedores anteriores hubieran sido eliminados del proyecto.

Las raíces del problema se remontan a 2014, cuando se produjo una migración hacia el Servidor troncal dejó miles de paquetes con nombres desconocidos (o no reclamado) propietarios, lo que permitía a un atacante utilizar una API pública para reclamar pods y una dirección de correo electrónico que estaba disponible en el código fuente de CocoaPods (“[email protected]”) para tomar el control.

El segundo error es aún más crítico (CVE-2024-38366, puntuación CVSS: 10.0) y aprovecha un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, que luego podría usarse para manipular o reemplazar los paquetes.

También se identifica en el servicio un segundo problema en el componente de verificación de dirección de correo electrónico (CVE-2024-38367, puntuación CVSS: 8,2) que podría incitar a un destinatario a hacer clic en un enlace de verificación aparentemente benigno, cuando, en realidad, redirige el enlace. solicitud a un dominio controlado por un atacante para obtener acceso a los tokens de sesión de un desarrollador.

Para empeorar las cosas, esto puede convertirse en un ataque de apropiación de cuenta sin hacer clic falsificando un encabezado HTTP, es decir, modificando el X-host reenviado campo de encabezado y aprovechar herramientas de seguridad de correo electrónico mal configuradas.

La seguridad cibernética

“Hemos descubierto que casi todos los propietarios de pods están registrados con el correo electrónico de su organización en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de adquisición sin clic”, dijeron los investigadores.

Esta no es la primera vez que CocoaPods pasa por el escáner. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con el administrador de dependencias (“cdn2.cocoapods[.]org”) podría haber sido secuestrado por un adversario a través de páginas de GitHub con el objetivo de alojar sus cargas útiles.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El momento en que Kylian Mbappé, furioso y enmascarado, se enfrenta a Jan Vertonghen durante la eliminatoria de octavos de final de la Eurocopa 2024 de Francia contra Bélgica
Next: Campi Flegrei, un fondo contra el bradisismo financiado por empresas

Related Stories

iPhone Ultra: Apple apunta ahora a los 10 millones de
  • Tecnología

iPhone Ultra: Apple apunta ahora a los 10 millones de dispositivos vendidos

teknomers 3 de Temmuz de 2026
  • Tecnología

Mélenchon quiere salvar los discos de PlayStation en 2027, ¿pero no es ya demasiado tarde?

teknomers 3 de Temmuz de 2026
Google ataca una amplia red de proxies residenciales vinculada a
  • Tecnología

Google ataca una amplia red de proxies residenciales vinculada a NetNut

teknomers 3 de Temmuz de 2026

You May Have Missed

iPhone Ultra: Apple apunta ahora a los 10 millones de
  • Tecnología

iPhone Ultra: Apple apunta ahora a los 10 millones de dispositivos vendidos

teknomers 3 de Temmuz de 2026
Emmanuel Macron estabiliza su popularidad en un nivel bastante bajo
  • Entretenimiento

Emmanuel Macron estabiliza su popularidad en un nivel bastante bajo para su último verano en el Elíseo

teknomers 3 de Temmuz de 2026
  • General

Pronóstico del precio de Bitcoin BTC USD tras las salidas de ETF: el precio de Bitcoin hoy supera los $62,000 mientras las ballenas acumulan $16.7 mil millones en BTC USD, los ETFs pierden miles de millones y los traders de cripto observan una zona de resistencia clave.

teknomers 3 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: Declan Rice listo para jugar a pesar del dolor contra México

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.