Apple ha publicado 7 boletines de
seguridad que solucionan vulnerabilidades en otros tantos de sus productos:
iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. En total se
corrigen 208 fallos de seguridad entre ellos el célebre “BroadPwn”.
“BroadPwn” es el nombre con el que se
ha bautizado una vulnerabilidad crítica en chipsets Wi-Fi de Broadcom que
podría comprometer remotamente y sin interacción del usuario a los dispositivos
afectados. Concretamente, el fallo de seguridad se encuentra en chips de la
familia BCM43xx, los cuales son ampliamente utilizados en la industria. Así nos
encontramos con que millones de dispositivos Android de diversos fabricantes
(HTC, LG, Nexus y Samsung entre otras) y de Apple (en este caso iOS, macOS,
watchOS y tvOS) se encuentran afectados.
Por su parte, Google solventó esta
vulnerabilidad, con identificador CVE-2017-9417, en su boletín mensual del 5 de
julio, mientras que Apple ha presentado la solución en sus boletines del 19 de
este mes.
La vulnerabilidad “BroadPwn” ha sido
descubierta por Nitay Artenstein de Exodus Intelligence, quien la presentará en
los próximos días en la Black Hat USA 2017, donde explicará cómo encontró el
error y mostrará una prueba de cómo aprovecharlo para lograr la ejecución de
código.
Volviendo a los boletines de Apple,
dada la gran cantidad de productos actualizados, vamos a realizar un breve
repaso de las actualizaciones publicadas y problemas solucionados:
El sistema operativo para dispositivos
móviles de Apple (iPad, iPhone, iPod…), iOS 10.3.3, resuelve 47
vulnerabilidades. Los problemas corregidos están relacionados con múltiples
componentes, entre los que se incluyen CoreAudio, Contacts, Messages,
Notifications, Telephony, el kernel y WebKit, entre otros. 33 de las
vulnerabilidades podrían permitir la ejecución de código.
También se ha publicado la versión
10.12.6 de OS X Sierra y el Security Update 2017-003 para El Capitan y
Yosemite. En este caso se solucionan 37 nuevas vulnerabilidades que afectan a
múltiples y muy diversos componentes, que entre otros incluyen a Audio, Wi-Fi,
Bluetooth, controladores gráficos, y el kernel. La ejecución de código podría
ser el impacto potencial provocado por 25 de estos errores de seguridad.
Las actualizaciones también incluye a
Safari, el navegador web de Apple, que se actualiza a la versión Safari 10.1.2
para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, y macOS Sierra 10.12.6. Se
solucionan 25 vulnerabilidades debidas a problemas en WebKit, el motor de
navegador de código abierto que es la base de Safari. 19 de estas
vulnerabilidades son de alta gravedad y podrían permitir la ejecución de
código.
De forma similar, Apple publica
watchOS 3.2.2, destinada a su reloj inteligente o “smartwatch” Apple Watch. con
la que se solucionan hasta 16 vulnerabilidades, la mayoría de ellas (12)
podrían permitir la ejecución remota de código arbitrario.
Apple también ha publicado tvOS
10.2.2, para sus televisores, que corrige 38 vulnerabilidades en múltiples
componentes, de las cuales 31 son graves.
También se ha publicado iTunes 12.6.2
para Windows 7 y posteriores, una versión menor que incluye la corrección de 23
vulnerabilidades.
Por último, Apple ha publicado la
actualización 6.2.2 de iCould para Windows 7 y posteriores 22 problemas de
seguridad.
Más información:
- iOS 10.3.3 https://support.apple.com/es-es/HT207923
- macOS Sierra 10.12.6, Actualización de seguridad
2017-003 El Capitan y Actualización de seguridad 2017-003 Yosemite https://support.apple.com/es-es/HT207922
- Safari 10.1.2 https://support.apple.com/es-es/HT207921
- watchOS 3.2.3 https://support.apple.com/es-es/HT207925
- tvOS 10.2.2 https://support.apple.com/es-es/HT207924
- iTunes 12.6.2 para Windows https://support.apple.com/es-es/HT207928
- iCloud para Windows 6.2.2 https://support.apple.com/es-es/HT204283
Fuente: Hispasec