{"id":638187,"date":"2023-02-22T14:45:27","date_gmt":"2023-02-22T14:45:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/apple-advierte-sobre-3-nuevas-vulnerabilidades-que-afectan-a-dispositivos-iphone-ipad-y-mac\/"},"modified":"2023-02-22T14:45:28","modified_gmt":"2023-02-22T14:45:28","slug":"apple-advierte-sobre-3-nuevas-vulnerabilidades-que-afectan-a-dispositivos-iphone-ipad-y-mac","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apple-advierte-sobre-3-nuevas-vulnerabilidades-que-afectan-a-dispositivos-iphone-ipad-y-mac\/","title":{"rendered":"Apple advierte sobre 3 nuevas vulnerabilidades que afectan a dispositivos iPhone, iPad y Mac"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de febrero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de punto final\/Actualizaci\u00f3n de software<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Apple ha revisado los avisos de seguridad que public\u00f3 el mes pasado para incluir tres nuevas vulnerabilidades que afectan iOS, iPad OS<\/a>y Mac OS<\/a>.<\/p>\n

El primer defecto es un condici\u00f3n de carrera<\/a> en el componente Crash Reporter (CVE-2023-23520) que podr\u00eda permitir que un actor malicioso lea archivos arbitrarios como ra\u00edz. El fabricante de iPhone dijo que abord\u00f3 el problema con una validaci\u00f3n adicional.<\/p>\n

Las otras dos vulnerabilidades, atribuidas al investigador de Trellix Austin Emmitt, residen en el marco de la fundaci\u00f3n<\/a> (CVE-2023-23530 y CVE-2023-23531) y podr\u00eda armarse para lograr la ejecuci\u00f3n del c\u00f3digo.<\/p>\n

“Una aplicaci\u00f3n puede ejecutar c\u00f3digo arbitrario fuera de su entorno limitado o con ciertos privilegios elevados”, dijo Apple, y agreg\u00f3 que solucion\u00f3 los problemas con un “manejo de memoria mejorado”.<\/p>\n

Las vulnerabilidades de gravedad media a alta se han parcheado en iOS 16.3, iPadOS 16.3 y macOS Ventura 13.2 que se enviaron el 23 de enero de 2023.<\/p>\n

\"Vulnerabilidades<\/div>\n

Trellix, en su propio informe del martes, clasificado<\/a> las dos fallas como una “nueva clase de errores que permiten omitir la firma de c\u00f3digo para ejecutar c\u00f3digo arbitrario en el contexto de varias aplicaciones de plataforma, lo que lleva a una escalada de privilegios y escape de sandbox tanto en macOS como en iOS”.<\/p>\n

Los errores tambi\u00e9n eluden las mitigaciones que Apple implement\u00f3 para abordar las vulnerabilidades de clic cero como FORCEDENTRY que fue aprovechada por el proveedor de software esp\u00eda mercenario israel\u00ed NSO Group para implementar Pegasus en los dispositivos de los objetivos.<\/p>\n

Como resultado, un actor de amenazas podr\u00eda explotar estas vulnerabilidades para salir de la zona de pruebas y ejecutar c\u00f3digo malicioso con permisos elevados, lo que podr\u00eda otorgar acceso al calendario, la libreta de direcciones, los mensajes, los datos de ubicaci\u00f3n, el historial de llamadas, la c\u00e1mara, el micr\u00f3fono y las fotos.<\/p>\n

A\u00fan m\u00e1s preocupante, se podr\u00eda abusar de los defectos de seguridad para instalar aplicaciones arbitrarias o incluso borrar el dispositivo. Dicho esto, la explotaci\u00f3n de las fallas requiere que un atacante ya haya obtenido un punto de apoyo inicial.<\/p>\n

“Las vulnerabilidades anteriores representan una violaci\u00f3n significativa del modelo de seguridad de macOS e iOS, que se basa en que las aplicaciones individuales tengan un acceso detallado al subconjunto de recursos que necesitan y consulten los servicios privilegiados m\u00e1s altos para obtener cualquier otra cosa”, dijo Emmitt.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n