martes, 25 de julio de 2017

Apple parchea Broadpwn entre otras vulnerabilidades en sus últimos boletines

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en otros tantos de sus productos: iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. En total se corrigen 208 fallos de seguridad entre ellos el célebre “BroadPwn”.

BroadPwn” es el nombre con el que se ha bautizado una vulnerabilidad crítica en chipsets Wi-Fi de Broadcom que podría comprometer remotamente y sin interacción del usuario a los dispositivos afectados. Concretamente, el fallo de seguridad se encuentra en chips de la familia BCM43xx, los cuales son ampliamente utilizados en la industria. Así nos encontramos con que millones de dispositivos Android de diversos fabricantes (HTC, LG, Nexus y Samsung entre otras) y de Apple (en este caso iOS, macOS, watchOS y tvOS) se encuentran afectados.

Por su parte, Google solventó esta vulnerabilidad, con identificador CVE-2017-9417, en su boletín mensual del 5 de julio, mientras que Apple ha presentado la solución en sus boletines del 19 de este mes.

La vulnerabilidad “BroadPwn” ha sido descubierta por Nitay Artenstein de Exodus Intelligence, quien la presentará en los próximos días en la Black Hat USA 2017, donde explicará cómo encontró el error y mostrará una prueba de cómo aprovecharlo para lograr la ejecución de código.

Volviendo a los boletines de Apple, dada la gran cantidad de productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados:

El sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod…), iOS 10.3.3, resuelve 47 vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen CoreAudio, Contacts, Messages, Notifications, Telephony, el kernel y WebKit, entre otros. 33 de las vulnerabilidades podrían permitir la ejecución de código.

También se ha publicado la versión 10.12.6 de OS X Sierra y el Security Update 2017-003 para El Capitan y Yosemite. En este caso se solucionan 37 nuevas vulnerabilidades que afectan a múltiples y muy diversos componentes, que entre otros incluyen a Audio, Wi-Fi, Bluetooth, controladores gráficos, y el kernel. La ejecución de código podría ser el impacto potencial provocado por 25 de estos errores de seguridad.

Las actualizaciones también incluye a Safari, el navegador web de Apple, que se actualiza a la versión Safari 10.1.2 para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, y macOS Sierra 10.12.6. Se solucionan 25 vulnerabilidades debidas a problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. 19 de estas vulnerabilidades son de alta gravedad y podrían permitir la ejecución de código.

De forma similar, Apple publica watchOS 3.2.2, destinada a su reloj inteligente o “smartwatch” Apple Watch. con la que se solucionan hasta 16 vulnerabilidades, la mayoría de ellas (12) podrían permitir la ejecución remota de código arbitrario.

Apple también ha publicado tvOS 10.2.2, para sus televisores, que corrige 38 vulnerabilidades en múltiples componentes, de las cuales 31 son graves.

También se ha publicado iTunes 12.6.2 para Windows 7 y posteriores, una versión menor que incluye la corrección de 23 vulnerabilidades.

Por último, Apple ha publicado la actualización 6.2.2 de iCould para Windows 7 y posteriores 22 problemas de seguridad.


Más información:
iOS 10.3.3
https://support.apple.com/es-es/HT207923

macOS Sierra 10.12.6, Actualización de seguridad 2017-003 El Capitan y
Actualización de seguridad 2017-003 Yosemite
https://support.apple.com/es-es/HT207922

Safari 10.1.2
https://support.apple.com/es-es/HT207921

watchOS 3.2.3
https://support.apple.com/es-es/HT207925

tvOS 10.2.2
https://support.apple.com/es-es/HT207924

iTunes 12.6.2 para Windows
https://support.apple.com/es-es/HT207928

iCloud para Windows 6.2.2
https://support.apple.com/es-es/HT204283


Juan Jose Ruiz