Apple ha lanzado una nueva serie de revisiones de seguridad que solucionan vulnerabilidades en Safari, iOS, watchos, y TVOS. Cabe señalar que algunas de las vulnerabilidades se dieron a conocer antes de que las actualizaciones de seguridad, que se abrió un resquicio para los agentes de amenaza.
¿Qué problemas se han solucionado en IOS 12?
Con el lanzamiento de iOS 12, De Apple se centró en mejorar la estabilidad y la fiabilidad. Sin embargo, La última versión también incluye varias características nuevas orientadas a la seguridad, tales como mejoras inteligentes de seguimiento, ad surpressed focalización, y también introduce la sugerencia automática de contraseñas seguras.
Además de estas mejoras, la compañía ha abordado varias vulnerabilidades de seguridad:
CVE-2018-4322 - se trata de una vulnerabilidad que podría permitir Cuentas aplicaciones locales para leer un identificador de cuenta de la persistencia;
CVE-2018-5383 - se trata de un error de validación de entrada que existía en la implementación del protocolo de comunicaciones que podría permitir a los atacantes privilegiados para interceptar el tráfico de Bluetooth;
CVE-2018-4330 - este tema se describe como una corrupción de memoria. En caso de explotar, los atacantes podrían ejecutar código arbitrario;
CVE-2018-4356 - esta vulnerabilidad se ha informado de forma anónima. Se describe como un problema de permisos en el sistema operativo móvil de Apple, que permite aplicaciones falsas para aprender información acerca de la cámara de visión actual del usuario antes de ser concedido acceso a la cámara;
CVE-2018-4338 - esta vulnerabilidad es un problema de validación y permitió a los atacantes utilizar aplicaciones maliciosas para leer la memoria restringida;
CVE-2018-4363 - este es uno de los graves problemas de seguridad en iOS kernel resueltos en iOS 12. El error se informó por parte de Google Project Zero y es descrito como un problema de validación de entradas que podría permitir que las aplicaciones lean la memoria restringida.
Otra vulnerabilidad grave en la plataforma de mensajes de comunicación de Apple también se fijó. El defecto es un problema de consistencia situado en el manejo de instantáneas de aplicaciones, lo que podría permitir a atacantes locales para descubrir los mensajes eliminados del usuario.
Los defectos en Safari también Patched
Algunos aspectos de navegador Safari también se fijaron en su última versión, Safari 12: CVE-2018-4307, CVE-2018-4329, y CVE-2018-4195. CVE-2018-4307could permite a sitios maliciosos para exfiltrate datos autorrellenará en Safari. CVE-2018-4329 se describe como un problema que podría impedir a eliminar elementos del historial de navegación. CVE-2018-4195 se refiere a un tema que podría conducir a la suplantación de la interfaz de usuario activar haciendo clic en un enlace en un sitio web malicioso.
Otros problemas incluyen una vulnerabilidad de validación en el IOMobileFrameBuffer, un error de contraseña como la suplantación de seguimiento CVE-2018-4305 en la iTunes Store, y un defecto que podría ser aprovechado para recuperar el contenido eliminado desde Notes.
Por último, un problema de cifrado de seguimiento como CVE-2016-1777 provocada por la debilidad del algoritmo RC4 de cifrado también fue parcheado. Para hacer frente a la falla, la empresa eliminó el protocolo completo.