Apple va llançar actualitzacions de seguretat per a solucionar vulnerabilitats en diversos dels seus productes.
Anàlisi
Apple va anunciar dilluns noves actualitzacions de seguretat per als usuaris de iOS, macOS, iPadOS i watchOS que aborden més de 70 CVE en les seues plataformes, inclosos diversos errors que conduïxen a modificacions protegides del sistema d’arxius.
Especialment importants són les actualitzacions per a iOS i iPadOS, que aborden vulnerabilitats que podrien filtrar informació confidencial dels usuaris.
Segons Apple, les vulnerabilitats es van resoldre amb millores en l’autenticació, controls, lògica, validació d’entrada, maneig de contingut, administració de memòria, redacció de dades privades, administració d’estat i maneig d’arxius i memòria.
iOS 18.1 i iPadOS 18.1 ja s’estan implementant per als usuaris mòbils amb pedaços per a 28 vulnerabilitats que podrien provocar fugues d’informació, divulgació de memòria de processos, denegació de servici, fuga de sandbox, modificació d’arxius de sistema protegits, corrupció del munt i accés a arxius restringits.
Entre les vulnerabilitats més destacades estan:
- CVE-2024-44274 : vulnerabilitat en l’accessibilitat que podria permetre que un atacant amb accés físic a un dispositiu bloquejat veja informació confidencial de l’usuari. Este problema s’ha corregit en iOS 17.7.1 i iPadOS 17.7.1, watchOS 11.1, iOS 18.1 i iPadOS 18.1 amb autenticació millorada.
- CVE-2024-44282 : vulnerabilitat en Foundation que provocava que l’anàlisi d’un arxiu poguera provocar la divulgació d’informació de l’usuari. Este problema s’ha solucionat en tvOS 18.1, iOS 18.1 i iPadOS 18.1, iOS 17.7.1 i iPadOS 17.7.1, macOS Ventura 13.7.1, macOS Sonoma 14.7.1, watchOS 11.1 i visionOS 2.1 mitjançant una validació d’entrada millorada. Foundation funciona com un marc fonamental que oferix una capa base de funcionalitat per als sistemes operatius d’Apple. Entre altres coses, és responsable de l’accés al sistema d’arxius.
- CVE-2024-40867 : vulnerabilitat en iTunes causada per un problema de maneig d’esquemes d’URL personalitzats que podria ser utilitzat per un atacant per a eixir de la zona protegida de contingut web. Este problema es va solucionar en iOS 18.1 i iPadOS 18.1 mitjançant una validació d’entrada millorada. Eixir de la zona protegida de contingut web permet que un lloc web o un atacant malintencionat accedisca potencialment a dades confidencials, controle altres parts del sistema i comprometa la seguretat general del dispositiu més enllà de les limitacions previstes del navegador web.
Recursos afectats
- iOS 18.1 y iPadOS 18.1
- iOS 17.7.1 y iPadOS 17.7.1
- macOS Sequoia 15.1
- macOS Sonoma 14.7.1
- macOS Ventura 13.7.1
- Safari 18.1
- watchOS 11.1
- tvOS 18.1
- visiónOS 2.1
Recomanacions
Apple ha publicat actualitzacions de tots els productes que corregixen les vulnerabilitats. Es recomana als usuaris dels diversos productes que comproven la versió instal·lada i apliquen les actualitzacions corresponents.
Referències
- https://www.cisa.gov/news-events/alerts/2024/10/29/apple-releases-security-updates-multiple-products
- https://www.securityweek.com/apple-patches-over-70-vulnerabilities-across-ios-macos-other-products/
- https://www.malwarebytes.com/blog/news/2024/10/update-your-iphone-mac-watch-apple-issues-patches-for-several-vulnerabilities