Estamos bastante acostumbrados, por desgracia, a ver cómo Apple, cada vez que lanza una nueva versión de su sistema operativo para móviles, suele arreglar bastantes cosas, pero estropear otras. Lo que no es tan normal es que, lo que anuncia que ha arreglado, sea, literalmente, mentira.
Con el lanzamiento de iOS 16.3.1 la semana pasada, Apple lanzó varios parches de seguridad para los usuarios de iPhone y iPad. Concretamente, se encontró una vulnerabilidad en el motor del navegador WebKit a la que se le dio el número 2023-23529 de Vulnerabilidades y Exposiciones Comunes (CVE). Este defecto podría permitir a un atacante aprovechar la ejecución de código arbitrario para ejecutar comandos en un dispositivo de firma remota.
Aunque la compañía ya había detallado estos parches en su sitio web, Apple ahora ha actualizado su página web de seguridad para revelar que hay aún más exploits que se han corregido con las últimas actualizaciones de iOS. Es decir, que había mucho más por arreglar de lo que la marca expresó en un principio. Y es que, no es lo mismo decir que se han solucionado dos problemas de seguridad, que 5.
Según se ha desvelado, se añade un nuevo fallo de seguridad al listado de Vulnerabilidades y Exposiciones Comunes para iOS 16.3.1 y tres nuevos CVE para iOS 16.3, que se lanzó hace más de un mes.
El nuevo exploit enumerado por Apple que se ha corregido con iOS 16.3.1 está vinculado a un ‘certificado diseñado de forma maliciosa’ que podría conducir a un ataque de denegación de servicio (DDoS), cuando el atacante inunda el dispositivo o la red con tráfico para desencadenar un accidente.
Los fallos de seguridad de iOS 16.3 que hemos conocido hoy también permitirán alterar el comportamiento del sistema. Uno de los exploits podría permitir a los atacantes leer archivos arbitrarios. Los otros dos problemas podrían permitir a los atacantes ejecutar código arbitrario en el iPhone o iPad con privilegios más altos.
¿Por qué no se ha avisado de ello?
La realidad es que, con el mismo parche lanzado hace unos días, todas estas vulnerabilidades se han arreglado, por lo que te animamos a instalar iOS 16.3.1, que ya está disponible para todos los usuarios. Lo que no se sabe exactamente es por qué Apple no mencionó tales hazañas de seguridad antes, ocultando que esta actualización arreglaba muchas más cosas de las que se alegaba en un principio.
No queremos pensar que el motivo sea el de ocultar que los smartphones de la firma, al igual que sus otros sistemas operativos, son más vulnerables a los ataques de seguridad por parte de terceros que lo que podríamos pensar en un principio.
Hay que tener en cuenta que la marca siempre se ha vanagloriado de que su sistema operativo es mucho más seguro que el sistema operativo de Google, Android, por lo que cuantos menos agujeros y brechas de seguridad aparezcan en su software, mucho mejor.
A estos fallos de iOS hay que sumarle los localizados en macOS 13.2.1, donde Apple también solucionó una vulnerabilidad de seguridad relacionada con WebKit (el motor del navegador web Safari) que había sido explotada de forma activa.
Fuente > 9to5Mac