Las últimas horas han sido críticas para todos los usuarios de Apple. La presencia de una vulnerabilidad de seguridad crítica denominada CVE-2024-27793 ha mantenido en alerta a millones de personas en todo el mundo. La aplicación iTunes de los usuarios de Windows 10 y Windows 11 podría haber sido víctima de atacantes maliciosos, que habrían ejecutado código arbitrariamente de manera remota aprovechando este fallo de seguridad.

Las recientes informaciones concluyen que Willy R. Vasquez, estudiante de doctorado e investigador de seguridad de la Universidad de Texas en Austin, ha podido detectar, al usar el navegador web Firefox 117, que CVE-2024-27793 es un fallo de seguridad crítico.

Esta calificación viene aportada por el Common Vulnerability Scoring System v3, que afecta al marco CoreMedia, que es el que define el canal de medios empleado en última instancia para poder procesar muestras de medios y gestionar colas de datos de éstos.

¿Qué se sabe sobre CVE-2024-27793?

Se trata de una de las muchas vulnerabilidades que presentan decodificadores de video H.264, pues se puede usar para explotar una vulnerabilidad en un decodificador de video. Se conoce que se puede aplicar a versiones de la aplicación iTunes para Windows 12.13.2 y versiones anteriores.

Hay que tener en cuenta que los usuarios de iTunes de las versiones de Windows 10 y 11 son los más perjudicados, ya que el análisis de un archivo podría generar la finalización inesperada de una aplicación o la ejecución de un código de carácter arbitrario.

Por consiguiente, CVE-2024-27793 sería la puerta de entrada para una solicitud diseñada con fines malintencionados. No obstante, el atacante no tendría por qué tener acceso local a la máquina Windows, ya que la vulnerabilidad podría conducir a una ejecución remota de código que implicaría la calificación crítica de CVSS v3 de 9,1 sobre 10.

La principal peculiaridad de CVE-2024-27793 es que se puede explotar fácilmente, sin necesidad de autentificación y de manera 100% remota. Para ello, es necesaria la interacción del usuario en todo momento, haciendo clic en un enlace o visitando un espacio donde CoreMedia puede analizar archivos de carácter malicioso.

La reacción de Apple ante el fallo de seguridad

Por el momento, Apple no revela ni confirma problemas de seguridad al respecto, aunque en las últimas horas ha señalado que todo queda solventado a través de una comunicación oficial. Las investigaciones han sido muy provechosas y la solución se encuentra disponible para todos los usuarios.

“Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple”, así lo ha comunicado en su web oficial la entidad.

La actualización de iOS 17.5

Apple ha lanzado en las últimas horas la posibilidad de descargar iOS 17.5 a través de su web o de la app Podcasts, con ciertas mejoras. Para ello, se han corregido erores de seguridad, por lo que se precisa de instalar una nueva versión.

Los errores que se han corregido se aplican a todos los dispositivos compatibles con iOS 17.5, así como iPhone XS y otras versiones posteriores y compatibles con iPadOS 17. Dichos errores están relacionados con AppleAVD, AppleMobileFileIntegrity, AVEVideoEncoder, Buscar, Kernel, Libsystem, Mapas, MarketplaceKit, Notas, RemoteViewServices, Capturas de pantalla, Atajos, Servicios de sincronización, Control por voz y WebKit. En resumen, vulnerabilidades que pueden ser explotadas fácilmente.

El hecho de descargar iOS 17.5 será cosa del pasado, ya que pronto llegará iOS 18 con funciones de IA y renovación plena de Siri, con una versión centrada en la estabilidad y la corrección de errores. Además, se opta por una nueva opción para bloquear a todos los participantes por una llamada de FaceTime, ubicada en la barra de navegación superior de Apple Books y más.

Una lucha constante en pro de la seguridad

Tanto Google como Apple han puesto en marcha una serie de rastreadores inalámbricos cercanos no deseados.

Los rastreadores aumentaron su popularidad desde que Apple lanzó su AirTag en 2021. Pasaron a ser plenamente esenciales para vigilar objetos personales, así como el uso de señales Bluetooth de origen colectivo.

A pesar de sus aplicaciones prácticas, hay informes alarmantes sobre el uso encubierto de AirTags para rastrear a personas sin su consentimiento en entornos concurridos. Previamente, los dispositivos Android alertaban a los usuarios específicamente sobre las AirTags. No obstante, las alertas actualizadas se ampliaron para incluir diversos dispositivos de seguimiento Bluetooth.

Hay que tener en cuenta que, además del citado AirTag de Apple, ambos gigantes tecnológicos validan ahora los rastreadores de terceros de empresas como Chipolo y Motorola, siempre y cuando cumpliesen con los estrictos requisitos de seguridad de Apple y Google, que ahora obligan a incluir medidas contra el rastreo.

El objetivo de ambas compañías tecnológicas no es otro que equilibrar la utilidad de los rastreadores Bluetooth con sólidas protecciones contra el uso indebido, reafirmando su compromiso con la seguridad y la privacidad de los usuarios.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre