Saltar al contenido
computerg

ūü•á Apple A√ļn No Corrige La Falla De Seguridad De WebKit En IOS Y MacOS A Pesar Del Parche Disponible

mayo 27, 2021

Apple todavía está en el proceso de parchear una vulnerabilidad de WebKit presente tanto en iOS como en macOS a pesar de un parche para la falla que ha estado disponible durante varias semanas, advirtieron los expertos.

La vulnerabilidad fue descubierta por primera vez por investigadores de la startup de ciberseguridad Theori, que también tiene un exploit de prueba de concepto que aprovecha el error.

Seg√ļn el equipo de Theori, el problema proviene de la interfaz AudioWorklet de la API de Web Audio, que permite a los desarrolladores controlar, manipular, renderizar y emitir audio.

¬°LaComparacion te necesita!

Echamos un vistazo a cómo nuestros lectores están usando VPN para un próximo informe en profundidad. Nos encantaría saber de usted en la encuesta a continuación. No tomará más de 60 segundos de su tiempo.

Haga clic aquí para iniciar la encuesta en una nueva ventana

Se agreg√≥ un parche para la vulnerabilidad al c√≥digo WebKit ascendente a principios de mayo. Curiosamente, sin embargo, Theori se√Īala que Apple contin√ļa entregando actualizaciones de iOS vulnerables casi tres semanas despu√©s del lanzamiento del parche.

Parche enorme

AppleInsider explica que explotar la falla podría brindar a los atacantes los componentes básicos necesarios para ejecutar código malicioso en los dispositivos.

Sin embargo, el proceso no es sencillo, ya que cualquier explotaci√≥n en el mundo real a√ļn necesitar√≠a una forma de eludir los c√≥digos de autenticaci√≥n de puntero (PAC), que es un sistema de mitigaci√≥n que requiere una firma criptogr√°fica antes de que el c√≥digo se pueda ejecutar en la memoria.

Independientemente de la complejidad de explotar el error, el problema real aqu√≠ es la inacci√≥n de Apple a pesar de la disponibilidad p√ļblica de una soluci√≥n.

Idealmente, deber√≠a haber una cantidad m√≠nima de tiempo entre un parche p√ļblico y una versi√≥n estable. En este caso, sin embargo, Apple contin√ļa enviando nuevas versiones de iOS junto con la versi√≥n vulnerable sin parches de WebKit.

Se sabe que los actores de amenazas se aprovechan de este enorme parche; la ventana entre parchear una vulnerabilidad y enviar el parche a los usuarios.

‚ÄúEste error demuestra una vez m√°s que la brecha del parche es un peligro significativo con el desarrollo de c√≥digo abierto. Idealmente, la ventana de tiempo entre un parche p√ļblico y una versi√≥n estable es lo m√°s peque√Īa posible. En este caso, una nueva versi√≥n de iOS permanece vulnerable semanas despu√©s del lanzamiento del parche ‚ÄĚ, concluyen los investigadores de Theori.

Vía AppleInsider


Source link