El 10 de diciembre, Apple
lanzó un gran conjunto de parches para
macOS ,
iOS (incluido iPadOS) y
watchOS . Quizás el más peligroso de los errores cerrados fue la vulnerabilidad FaceTime, que afecta a todos los dispositivos móviles de Apple que comienzan con iPhone 6s y iPad Air 2. Al igual que con la
vulnerabilidad recientemente descubierta
en WhatsApp , el problema se encontró en el sistema de procesamiento de archivos de video entrantes: un video malicioso podría provocar ejecución de código arbitrario. La vulnerabilidad CVE-2019-8830 fue descubierta por Natalie Silvanovich, investigadora del equipo de Google Project Zero: el año pasado escribió en detalle sobre la seguridad de los mensajeros instantáneos, incluido FaceTime (puede comenzar con un
artículo hace un año con ejemplos de vulnerabilidades descubiertas anteriormente en la aplicación).
El investigador Kishan Bagaria
descubrió otra vulnerabilidad: descubrió que enviar documentos a dispositivos Apple cercanos continuamente resultaba en una denegación de servicio. Para hacer esto, la capacidad de recibir archivos a través del mecanismo AirDrop de cualquier persona (y no solo de los usuarios en su lista de contactos) debe estar habilitada en su iPad o iPhone. Se esperaba que el error se llamara AirDoS: la conclusión es que la solicitud para recibir el archivo debe ser aceptada o rechazada, y hasta que esto se haga, otros controles en el dispositivo móvil no estarán disponibles. Si envía solicitudes constantemente, la tableta o el teléfono inteligente no funcionan. El error se cerró en iOS 13.3 al introducir un límite en el número de intentos: si rechaza la solicitud tres veces seguidas, todos los intentos posteriores de enviar el archivo desde el mismo dispositivo se bloquean automáticamente.
Un error interesante fue descubierto y cerrado en los procesadores Intel (
noticias ,
boletín del fabricante,
sitio de vulnerabilidad). Investigadores de universidades en Austria, Bélgica y el Reino Unido han encontrado una manera de comprometer el mecanismo de
Extensiones de Software Guard : proporciona protección adicional para datos críticos, como claves de cifrado, aislándolos de otros procesos en el sistema. El método de piratería se eligió de forma no trivial: modificación de los registros del procesador responsables del consumo de energía. En una situación normal, se utilizan para aumentar el rendimiento o el ahorro de energía adicional más allá de la configuración estándar del procesador.
Los investigadores demostraron que una disminución significativa en el voltaje (por ejemplo, -232 mV para el procesador Core i3-7100U o -195 mV para el Core i7-8650U) en el momento adecuado hace que el SGX no funcione correctamente y provoque corrupción de datos: donde hay daños, se abre una oportunidad para acceder a datos que de otro modo serían inaccesibles. Como ejemplo, los expertos demostraron la extracción de claves de cifrado utilizando algoritmos RSA y AES.
Como suele ser el caso con los ataques de este tipo, no es fácil seleccionar el voltaje y el momento correctos para cambiar los parámetros. Además, un ataque real de este tipo, aunque se puede realizar de forma remota (que no es típico de las vulnerabilidades de hardware), pero requiere acceso completo al sistema operativo. De lo contrario, no puede acceder a los parámetros del procesador. Cerrar la vulnerabilidad en este caso significa actualizar el microcódigo, que aún debe llegar a dispositivos reales (todos los procesadores de usuario Intel Core de la sexta generación se ven afectados, y algunos Xeon) en forma de una actualización del BIOS.
Kaspersky Lab ha publicado un
informe completo (disponible después del registro, una breve descripción general en
esta noticia ) sobre las amenazas cibernéticas para 2019. De particular interés en el informe es una lista de vulnerabilidades que realmente se utilizan en malware. A diferencia de las vulnerabilidades teóricas, estas son una amenaza particular y requieren actualizaciones de software inmediatas. Sin embargo, para los errores explotados más populares, las actualizaciones han estado disponibles durante más de un año. En la parte superior de esta lista hay dos vulnerabilidades en el Editor de fórmulas de Microsoft Office,
CVE-2017-11882 y
CVE-2018-0802 . Los cinco errores más utilizados generalmente se relacionan con Microsoft Office. Un ejemplo de una nueva vulnerabilidad es el error CVE-2019-0797 descubierto en marzo, que en ese momento
ya estaba
explotado en ataques maliciosos.
¿Qué más pasó?Se descubrieron
vulnerabilidades críticas en dos complementos para WordPress: Ultimate Addons para Beaver Builder y Ultimate Addons para Elementor. Para la operación, solo necesita saber la dirección de correo del administrador del sitio.
El parche de diciembre
cierra otra vulnerabilidad de día cero en Windows (de 7 a 10 y en Windows Server desde 2008). El error se
encontró en la biblioteca del sistema win32k.sys, también contenía la vulnerabilidad CVE-2019-0797 mencionada anteriormente.
En la nueva versión de Google Chrome 79
, se
cerraron dos vulnerabilidades críticas y, al mismo tiempo, apareció una nueva alarma estándar sobre el uso de pares comprometidos de inicio de sesión y contraseña. Esta opción estaba previamente disponible como una extensión.
14 vulnerabilidades críticas
cerradas en Adobe Reader y Adobe Acrobat. Además de dos vulnerabilidades que conducen a la ejecución de código arbitrario en Adobe Photoshop.
Ahora se
requiere que los desarrolladores de complementos de Firefox utilicen la autorización de dos factores. De esta manera, Mozilla está tratando de reducir el riesgo de ataques en la cadena de suministro: en este caso, tenemos en mente un escenario en el que el código malicioso se inserta en una extensión legítima después de piratear la computadora del desarrollador.