Apple ha implementado parches en sus sistemas operativos móviles iOS y iPadOS para protegerlos contra cuatro fallas recientemente reveladas, dos de las cuales están bajo explotación activa como vulnerabilidades de día cero, como parte de una actualización más amplia que también incluye nuevas características significativas diseñadas para salvaguardar la iPhone y iPad protegidos contra futuros ciberataques cuánticos. Los dos días cero se rastrean como CVE-2024-23225 y CVE-2024-23296. El primero es un problema de corrupción de la memoria en el kernel del dispositivo, a través del cual un atacante que haya obtenido una capacidad arbitraria de lectura y escritura del kernel puede eludir las protecciones de la memoria del kernel. El segundo, en RTKit, que es el sistema operativo en tiempo real utilizado en varios periféricos de Apple, como Apple AirPod, Apple Pencil y Smart Keyboard Folio, afecta de la misma forma al kernel. La tercera vulnerabilidad es un problema de accesibilidad y privacidad a través del cual una aplicación puede leer los datos de ubicación de un usuario, rastreado como CVE-2024-23243 y atribuido a Cristian Dinca de la Escuela Secundaria Nacional de Ciencias de la Computación Tudor Vianu en Bucarest, Rumania. La cuarta y última vulnerabilidad es un problema lógico que afecta la navegación privada de Safari, a través del cual las pestañas bloqueadas del navegador de un usuario pueden volverse visibles brevemente al cambiar de grupo de pestañas con la función de navegación privada bloqueada habilitada. Se rastrea como CVE-2024-23256 y se atribuye al investigador Om Kothawade. Como es habitual en sus actualizaciones de seguridad, Apple no proporcionó más detalles técnicos ni explotaciones de ninguno de los problemas solucionados. Mike Walters, fundador y presidente de Action1, especialista en gestión de parches, dijo: “La actualización de emergencia de Apple para iOS se ha lanzado con correcciones para dos vulnerabilidades de día cero utilizadas en ataques dirigidos a iPhones, aparentemente relacionadas con software espía. El número de días cero en el historial de Apple para este año está empezando a crecer, y aunque todavía está muy lejos del récord de 20 del año pasado, el ritmo ya está marcado. “La lista de dispositivos Apple afectados es bastante extensa e incluye el iPhone XS completo, iPhone 8, iPhone X, iPad de quinta generación, iPad Pro de 9,7 pulgadas, iPad Pro de 12,9 pulgadas de primera y segunda generación, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación, iPad Air de tercera generación, iPad de sexta generación, iPad mini de quinta generación y más nuevos”, añadió. «Se recomienda encarecidamente que aplique las actualizaciones lo antes posible». Salto cuántico La actualización más amplia de iOS 17.4 es un momento significativo para Apple en el dominio cibernético, ya que ofrece un nuevo protocolo de seguridad de iMessage, PQ3, un protocolo criptográfico poscuántico que avanza la mensajería segura de extremo a extremo en sus dispositivos. Michael Covington, vicepresidente de estrategia de Jamf, describió esta como una de las actualizaciones de seguridad del iPhone más «fundamentales» jamás vistas. “[It] Ofrece un gran avance en la forma en que se protegen los mensajes de la próxima generación de herramientas de piratería”, dijo. “Con PQ3, los usuarios del servicio iMessage de Apple pueden tener más confianza en que los datos enviados hoy podrán resistir los ataques implementados utilizando la potencia de computación cuántica que estará disponible para los atacantes en el futuro. Esta característica por sí sola es un testimonio del fuerte compromiso de Apple con la privacidad del usuario y de estar siempre a la vanguardia”. El director de seguridad de Rapid7, Jaya Baloo, añadió: “La decisión de Apple de utilizar el protocolo PQ3 para la criptografía poscuántica es un salto adelante en seguridad y protege las comunicaciones contra la futura amenaza que plantean las computadoras cuánticas. “Tiene un montón de propiedades interesantes, como protecciones contra ataques de ‘cosechar ahora, descifrar después’ y cifrado de ‘Nivel 3’, lo que garantiza que los datos permanezcan seguros a pesar de un futuro descifrado o compromiso de claves, respectivamente. También es un avance importante debido a la comunidad mundial de usuarios que se benefician de mejoras en su privacidad gracias a PQ3. «Se espera que la decisión de Apple de mejorar la seguridad y la privacidad para todos mediante la mejora de iMessage y la adición de PQ3 también anime a más empresas de consumo globales a preparar nuestra seguridad y privacidad para un futuro poscuántico», añadió. iOS 17.4 también incluye otras funciones, muchas de ellas destinadas a cumplir con la Ley de Mercados Digitales de la Unión Europea. Estos cambios incluyen la capacidad para que los desarrolladores externos pongan a disposición mercados alternativos y descargas de aplicaciones sin los límites de la propia App Store de iOS de Apple; la capacidad de utilizar otros navegadores no basados ​​en WebKit, como Chrome o Firefox; y una interfaz de programación de aplicaciones que permite a los desarrolladores usar el chip NFC existente del iPhone para pagos sin contacto que no utilizan Apple Pay o Apple Wallet. Otras características globales incluyen nuevas opciones de traducción en su aplicación Podcasts y Siri, mejor información sobre la duración de la batería, reconocimiento de música mejorado y más de 100 emojis añadidos.

Source link