Apple soluciona más de 200 vulnerabilidades en varios de sus productos

Apple ha vuelto a publicar una de esas actualizaciones que tanto les caracteriza: gigantesca y para muchos de los sistemas y aplicaciones que utilizan sus usuarios a diario. Nada menos que 223 vulnerabilidades en macOS Sierra, iOS, Safari, watchOS y tvOS fueron solucionados con la publicación el lunes de varios parches de seguridad.

Actualizaciones importantes en macOS, iOS y Safari

La mayor parte de las vulnerabilidades solucionadas corresponden al sistema operativo macOS Sierra, con 127 fallos de seguridad solucionados en total en la nueva versión 10.12.4. El otro sistema estrella de Apple, iOS, también recibió su ración de actualizaciones y, tras un análisis detallado de las mismas se ha observado que 30 de esas vulnerabilidades en iOS (y otras 40 en macOS Sierra) podían ser aprovechadas para conseguir la ejecución de código de forma arbitraria, incluso en algunos casos con privilegios de root.

Muchas de las vulnerabilidades parcheadas en estos sistemas operativos estaban relacionadas con la implementación de software de código abierto que Apple utiliza en sus sistemas. Así pues, se solucionaron varios agujeros de seguridad en tcpdump (un conocido analizador de tráfico de red), Libre SSL, PHP y OpenSSH.

Entre las vulnerabilidades solucionades destaca una en la versión móvil de Safari, producida por un manejo inadecuado de las ventanas emergentes que contienen código JavaScript. Algunos investigadores afirman que esta vulnerabilidad podría haber sido aprovechada por ciberdelincuentes para elaborar un rudimentario ransomware que no cesaba de mostrar avisos suplantando a fuerzas de seguridad y acusando a la víctima de visualizar contenido ilegal.

De entre los 38 fallos de seguridad encontrados en el navegador Safari, 23 de ellos podrían provocar la ejecución de código arbitrario, mientras que los 15 restantes podrían provocar varios tipos de problemas entre los que encontramos el clásico XSS, diversos tipos de spoofing, el robo de datos e incluso el cierre de la aplicación.

Fallos en otros sistemas y aplicaciones de Apple

Además de las vulnerabilidades ya mencionadas, Apple ha publicado varios parches en su suite ofimática iWork. Al parecer, la implementación de un cifrado débil podría poner en riesgo la seguridad de documentos PDF protegidos con contraseña. Esto ha hecho que Apple empiece a utilizar el cifrado AES 128 en iWork, cifrado que tampoco es especialmente seguro puesto que es considerado por muchos como obsoleto desde hace tiempo.

Otros dos sistemas de Apple más recientes como son tvOS y watchOS, diseñados para sus dispositivos Apple TV y Apple Watch también han recibido su ración de actualizaciones de seguridad. No obstante, hay que tener en cuenta que ambos sistemas operativos comparten buena parte de su código con iOS por lo que la mayoría de actualizaciones de este sistema operativo también les afectan.

A pesar de la gran cantidad de parches publicados con esta actualización, los fallos descubiertos recientemente durante la celebración del Pwn2Own y que afectaban a macOS y Safari no han sido solucionados por el momento.

Conclusión

Como acabamos de ver, Apple sigue con su tradición de publicar actualizaciones bastante grandes que afectan a muchos de sus productos cada cierto tiempo. Sin embargo, el tiempo que pasa entre cada una de estas actualizaciones se ha venido reduciendo con el paso de los años y eso es bueno para sus usuarios, puesto que la ventana de exposición a posibles ataques se reduce.

Aun así, estamos seguros de que se puede mejorar y lanzar actualizaciones de forma más frecuente, algo que los desarrolladores de Microsoft han empezado a implantar con Windows 10, abandonando su programa publicación de parches cada segundo martes de cada mes por uno más flexible.

Josep Albors