Apple corrige un error de día cero de macOS que permitía al malware realizar capturas de pantalla secretas


Haría bien en actualizar a macOS Large Sur 11.4 después de la prisa

Apple ha implementado actualizaciones para abordar una serie de fallas de seguridad, incluidas tres vulnerabilidades de día cero que se están explotando activamente en la naturaleza. Dos de las lagunas afectan a tvOS utilizado para las ofertas de Apple Television set 4k y Apple Tv set High definition, mientras que la tercera reside en el sistema operativo macOS Huge Sur que impulsa la línea de computadoras portátiles y dispositivos de escritorio de Apple.

«Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», se lee en el boletín de seguridad del gigante tecnológico que describe las fallas en macOS Huge Sur y tvOS, respectivamente.

Seguimiento como CVE-2021-30713, el día cero en macOS Significant Sur podría permitir a un atacante eludir el Marco de Manage y Consentimiento de Transparencia de Apple que solicita permiso a los usuarios cada vez que una acción o solicitud de permiso de una aplicación tiene un impacto directo en su privacidad.

“Este es el sistema que controla a qué recursos tienen acceso las aplicaciones, como otorgar acceso al application de colaboración de video a la cámara internet y al micrófono, para poder participar en reuniones virtuales. El exploit en cuestión podría permitir que un atacante obtenga acceso completo al disco, grabación de pantalla u otros permisos sin requerir el consentimiento explícito del usuario, que es el comportamiento predeterminado «, dijo el Equipo de detección de atascos, que descubrió el bypass mientras investigaba XCSSET malware.

Según Jamf, una vez que el malware ingresa al dispositivo, aprovecha las aplicaciones legítimas que ya tienen los permisos para tomar capturas de pantalla o grabar la pantalla (piense en Zoom) sin necesidad del consentimiento del usuario. «El equipo de detección notó que una vez instalado en el sistema de la víctima, XCSSET estaba usando este bypass específicamente con el propósito de tomar capturas de pantalla del escritorio del usuario sin requerir permisos adicionales», dijo Jamf.

Quizás vale la pena mencionar que en 2019, los investigadores de ESET documentaron campañas dirigidas a usuarios de Windows en Francia y entregaron una carga útil maliciosa llamada Varenyky. Además de enviar spam o robar contraseñas, Varenyky podía grabar las pantallas de las víctimas mientras veían contenido sexual en línea.

Mientras tanto, las dos vulnerabilidades que afectan a la línea de productos Apple Television set están indexadas como CVE-2021-30663 y CVE-2021-30665 y residen en el componente WebKit, el motor de navegador world-wide-web de código abierto de Apple utilizado por el navegador Safari, Mail y otras aplicaciones nativas de Apple. Mientras que el primero es un mistake de desbordamiento de enteros, el segundo es un defecto de corrupción de memoria, y ambos podrían ser explotados por un actor de amenazas utilizando contenido world wide web creado con fines malintencionados y potencialmente conducir a la ejecución de código arbitrario. Los agujeros de seguridad se han tapado con el lanzamiento de tvOS 14.6.

Más allá de los tres días cero, Apple también emitió correcciones de seguridad para macOS Catalina y Mojave, iOS, iPadOS, la Safari navegador y watchOS.

Le recomendamos que aplique todas las actualizaciones a toda prisa. Tus dispositivos deberían actualizarse automáticamente si habilitaste la opción. De lo contrario, puede hacerlo manualmente pasando por el menú Configuración. Para obtener más información, puede consultar la página de actualizaciones de seguridad.

En abril, Apple anuló una severa Vulnerabilidad de día cero de macOS que podría permitir que el malware eluda los mecanismos de protección integrados del sistema operativo.



Enlace a la noticia initial