Dos vulnerabilidades de iOS fueron explotadas antes de que Apple las resolviera

La última actualización para iOS, la versión 12.1.4, no solo ha corregido el famoso error de FaceTime, sino que también ha parcheado dos vulnerabilidades que atacantes externos han podido explotar durante los últimos tiempos.

Un ingeniero de seguridad de Google, Ben Hawkes, que pertenece al grupo de investigaciones de seguridad de Project Zero de Google, ha avisado en Twitter que se identificaron dos vulnerabilidades de día cero y que fueron explotadas por ataques externos antes de que Apple las resolviera.

En concreto habla de las vulnerabilidades de día cero CVE-2019-7286 y CVE-2019-7287, que ya han sido parcheadas por los de Cupertino en la última actualización de iOS, pero que atacantes sacaron partido tiempo atrás.

CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.

— Ben Hawkes (@benhawkes) 7 de febrero de 2019

Una de estas vulnerabilidades ponía en peligro la memoria del dispositivo y también distintos componentes del sistema, haciendo que incluso fuera posible que alguna aplicación externa pudiera contar con privilegios de mayor nivel que los normales. En lo que respecta a la otra vulnerabilidad, permitía contar con distintos privilegios de kernel.

Estas vulnerabilidades afectaban a los iPhone 5s y posteriores, a los iPad Air y posteriores y a los iPod Touch de sexta generación.

Como dijimos, la actualización iOS 12.1.4, no solo ha solventado estas dos vulnerabilidades, sino también las que hacían referencia a los problemas con el FaceTime.