Hace poco menos de dos semanas, escribimos sobre un Error de Safari de Apple eso podría permitir que los operadores de sitios web deshonestos lo rastrearan incluso si dieran la impresión de no hacerlo, e incluso si tuviera activada la protección de privacidad estricta.
De hecho, esa vulnerabilidad, ahora conocida como CVE-2022-22594, apareció en Safari debido a un error en WebKit, el "motor de renderizado del navegador", como se conoce generalmente a estas cosas, en el que se basa la aplicación Safari.
Y aunque Safari es el único navegador convencional basado en WebKit en macOS de Apple (Edge y Chromium usan el motor Blink de Google; Firefox usa el renderizador Gecko de Mozilla), ese no es el caso en los dispositivos móviles de Apple.
Cualquier navegador o aplicación similar a un navegador en App Store, que es esencialmente la única fuente de software para iPhone, iPad, Apple Watch, etc., debe programarse para usar WebKit, incluso si usa un motor de renderizado de terceros en otros. plataformas
Como resultado, los usuarios de macOS podrían simplemente cambiar de navegador para evitar el error, mientras que los usuarios de iDevice no podrían.
El error CVE-2022-22594 fue molestamente simple. Se basó en el hecho de que aunque su sitio web no podía acceder a ninguno de los datos almacenados localmente por mi sitio web (como consecuencia de la Política del mismo origen impuesto por los navegadores para mantener los datos web privados para la página que los creó en primer lugar), podría enumerar los nombres de cualquier base de datos que haya creado para mis datos. Si elijo un nombre de base de datos único para mi propio servicio, para evitar conflictos con cualquier otra persona, ese nombre sería identificar de forma única mi sitio, y por lo tanto filtraría el historial de navegación del usuario. Pero si elijo un nombre aleatorio para evitar conflictos sin identificar mi sitio web, ese nombre actuaría como una especie de "supercookie" que identificar de forma única al usuario. Perder perder.
Parches fuera ahora
La buena noticia es que CVE-2022-22594 se ha parcheado en las últimas actualizaciones de seguridad de Apple, disponibles de la siguiente manera:
- iOS 15.3 y iPadOS 15.3. Ver boletín de seguridad HT213053.
- macOS Monterrey 12.2. Ver boletín de seguridad HT213054.
- tvOS 15.3. Ver boletín de seguridad HT213057.
- RelojOS 8.4. Ver boletín de seguridad HT213059.
- Safari 15.3. Esta actualización se incluye automáticamente en las cuatro enumeradas anteriormente, pero debe descargarse por separado para macOS Big Sur y Catalina. HT213058.
Por supuesto, el error de "supercookie" de Safari no es el único agujero de seguridad reparado en este lote de actualizaciones: también se repararon muchos otros errores aún más graves.
No hay actualizaciones para iOS 12 o iOS 14, las dos versiones oficiales anteriores de la plataforma iDevice de Apple, pero hay parches masivos para Catalina y Big Sur, las dos versiones anteriores de macOS:
- macOS Big Sur 11.6.3. Ver boletín de seguridad HT213055.
- Actualización de seguridad de macOS Catalina 2022-001. Ver boletín de seguridad HT213056.
Estas actualizaciones de seguridad se pueden considerar críticas, dada la cantidad de errores de ejecución remota de código (RCE) que podrían, al menos en teoría, usarse sin su consentimiento para instalar software de vigilancia encubierto, implantar malware, robar datos, desbloquear su dispositivo en secreto y más.
De hecho, en iOS 15, iPadOS 15, Monterey 12 y BigSur 11, uno de los errores de RCE que potencialmente brinda control a nivel de kernel, generalmente el peor tipo de error de RCE que puede obtener, aparece con la advertencia típicamente discreta de Apple de que la compañía "está al tanto de un informe de que este problema puede haber sido explotado activamente".
En lenguaje sencillo, traducimos esas palabras de la siguiente manera: “Este es un error de día cero. Un exploit en estado salvaje ya está dando vueltas”. (En pocas palabras: parche ahora mismo, porque los ladrones ya están en esto).
¿Qué hacer?
Como dijimos anteriormente, la ecuación aquí es realmente simple: Agujero del kernel de día cero en la naturaleza -> Parche ahora mismo.
Los nuevos números de versión que debe tener en cuenta se enumeran arriba.
Una vez más: en una Mac, es Menú Apple > Acerca de esta Mac > Actualización de software… y en un iDevice, es Ajustes > General > actualización de software.
No se demore; ¡hazlo hoy!
(Y no olvide que, en las Mac más antiguas que no ejecutan Monterey 12, hay dos actualizaciones para instalar: una para el sistema operativo en general y una segunda específicamente para WebKit y Safari).
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
- CriptoHawk. Radar de altcoins. Prueba gratis.
- Fuente: https://nakedsecurity.sophos.com/2022/01/27/apple-patches-safari-data-leak-oh-and-a-zero-day-patch-now/
