Halloween en Apple: Google Project Zero le publicó 3 bugs

El pasado 31 de Octubre la gente de Google Project Zero publicó 3 vulnerabilidades provocando que el día de Halloween fuera un poco más oscuro para Apple. A través de plataformas como exploit-db podemos ver cuales eran dichas vulnerabilidades. En la primera, vemos una jugosa escalada de privilegios hasta en el nuevo flamante sistema operativo de Apple, macOS Sierra. La escalada de privilegios es provocada por una condición de carrera, y afecta a OS X y a la versión 10.12 de macOS Sierra. 

La segunda vulnerabilidad que el equipo de Project Zero publicó se refiere a la Bluetooth, y afectaba hasta las versiones OS X 10.11.5. La vulnerabilidad provoca una corrupción de memoria y hasta aquí mostraron los investigadores. En exploit-db podemos encontrar el código bien documentado con la PoC disponible.

Figura 1: Timeline de la escalada de privilegios de macOS Sierra 10.12

La tercera vulnerabilidad puede provocar una corrupción de memoria en el kernel y puede ser aprovechado desde la sandbox de los navegadores Safari y Chrome. Se puede aprovechar la vulnerabilidad tanto en OS X como en iOS. Como vemos, la semana comenzó con movimiento y vulnerabilidades en los sistemas operativos de Apple. Por suerte, existen remedios para estas vulnerabilidades, por lo que recomendamos que actualices tus sistemas operativos y obtengas un nivel de seguridad más alto.