Apple minimiza la amenaza planteada por la información recientemente revelada …



Los errores no representan una amenaza inmediata, y no hay evidencia de que hayan sido explotados, como afirmó ZecOps a principios de esta semana, dice Apple.

Apple está desafiando la gravedad reportada de dos vulnerabilidades de día cero en iOS que la firma de seguridad ZecOps reveló a principios de esta semana.

ZecOps había descrito una de las vulnerabilidades como particularmente peligrosa porque era explotable de forma remota sin ninguna acción del usuario. El proveedor de seguridad dijo que sus investigadores habían observado a un possible actor de amenaza de estado-nación explotando activamente la falla de clic cero en múltiples ataques dirigidos.

Las víctimas incluyeron individuos de una compañía Fortune 500 en América del Norte, múltiples proveedores de servicios de seguridad administrados en Arabia Saudita y una compañía de telecomunicaciones en Japón.

ZecOps dijo que los atacantes podrían activar los errores enviando mensajes de correo electrónico especialmente diseñados a iOS MobileMail. Sin embargo, el proveedor de seguridad también había notado que los dos errores por sí solos no podían dañar a los usuarios de iOS. Los atacantes también requerirían errores adicionales, incluido uno en el nivel del núcleo, para el control complete de los dispositivos de destino, según ZecOps.

El vendedor dijo que varias versiones de iOS se vieron afectadas, desde iOS 13.4.1 hasta iOS 6 desde 2012, y posiblemente incluso versiones anteriores.

La divulgación de ZecOps atrajo cierta atención porque los días cero de iOS son relativamente raros y debido a las afirmaciones de seguridad de que los errores estaban siendo explotados activamente. Apple ha dicho que lanzará un parche para los problemas en una próxima versión de iOS.

En un comunicado enviado por correo electrónico a Dim Reading, un portavoz de Apple dijo que la compañía había «investigado a fondo» el informe de ZecOps. «Según la información proporcionada, (nosotros) hemos concluido que estos problemas no representan un riesgo inmediato para nuestros usuarios», dijo el portavoz.

Los problemas que ZecOps identificó solo en Mail son insuficientes para eludir las protecciones de seguridad de Apple iphone y iPad, dijo Apple, en aparente acuerdo con el análisis de ZecOps de los errores. Pero la compañía agregó que sus investigadores no encontraron evidencia de que los errores hayan sido utilizados contra ningún cliente, en contra de las afirmaciones de ZecOps de amplia explotación.

«Estos posibles problemas se abordarán pronto en una actualización de software program», dijo Apple. «Valoramos nuestra colaboración con los investigadores de seguridad para ayudar a mantener a nuestros usuarios seguros y le daremos crédito al investigador por su ayuda».

Apple no estaba solo al cuestionar la evaluación de ZecOps de los errores. Las preguntas tenían que ver más con cómo podrían explotarse las vulnerabilidades y no si existían o cómo ZecOps las había descrito.

En un tuit, Jann Horn, investigador de seguridad del equipo de búsqueda de errores del Proyecto Cero de Google, dijo que una pieza de datos que ZecOps había identificado como potencialmente sospechosa podría atribuirse a algo inocuo.

«Su escrito dice: &#39Los eventos sospechosos incluyeron cadenas utilizadas comúnmente por hackers (por ejemplo, 414141 … 4141)&#39», dijo Horn en su Pío. «Pero también es lo que parece cuando solo codifica nulos en base64 y este es el análisis MIME, por lo que es probable que vea datos codificados en base64».

Prosperous Mogull, analista de Securosis, cuestionó las afirmaciones de ZecOps de explotación generalizada. «Parece que tienes una verdadera vulna, pero la evidencia de explotación parece débil», dijo en un Pío esta semana. La divulgación de ZecOps no proporcionó información sobre el encadenamiento posterior a la explotación que conduciría a la divulgación de información o la ejecución del código. «¿Alguna actualización que pueda compartir? Bastante grande reclamo de un correo sin clic días siendo utilizado», dijo el tweet de Mogull.

Dino Dai Zovi, un destacado investigador de seguridad y CTO de Capsule8, expresó dudas similares sobre las afirmaciones de ZecOps. «Tampoco entendí cómo se podrían aprovechar los bloqueos descritos para una (Ejecución remota de código) confiable en esas versiones de iOS», dijo. tuiteó. «Eso no significa que no sea posible, solo que no veo cómo la decodificación MIME le brinda un diseño de montón predecible y / o aborda la retroalimentación de fugas para crear la cadena ROP, etcetera.»

Al igual que otros, Dai Zovi instó a ZecOps a crear un site de seguimiento para describir cómo se podrían explotar de manera realista las vulnerabilidades que describió.

Zuk Avraham, fundador y CEO de ZecOps, no respondió directamente a una solicitud de Dim Looking through para comentar sobre las preguntas que surgieron sobre la investigación de su compañía. En cambio, señaló a un declaración su compañía había publicado en Twitter respaldando los reclamos originales de la compañía.

«Según los datos de ZecOps, hubo algunas causas desencadenantes de esta vulnerabilidad en algunas organizaciones», dijo la compañía. «ZecOps publicará más información y POC cuando haya un parche disponible».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más suggestions





Enlace a la noticia primary