Hay una nueva amenaza de seguridad para OS X e iOS que podría permitir a los atacantes controlar de forma remota su dispositivo o instalar malware enviándole un archivo de imagen. La amenaza es bastante seria, aunque hasta ahora es solo una prueba de concepto, y Apple corrigió la falla en OS X 10.11.6 e iOS 9.3.3.
El equipo Talos de Cisco descubrió la falla y creó una prueba de concepto que funciona a través del navegador web en la Mac. Funciona aprovechando las herramientas integradas del sistema operativo para representar imágenes automáticamente en aplicaciones como Mensajes y navegadores web y, en ciertos casos, no requiere ninguna acción del usuario.
Según Talos, el exploit aprovecha las propiedades de los archivos en imágenes TIFF, OpenEXR, DAE y BMP. TIFF, sin embargo, es el más peligroso en este caso porque el exploit puede activarse simplemente recibiendo una imagen.
El equipo de Talos dijo:
Esta vulnerabilidad es especialmente preocupante, ya que puede activarse en cualquier aplicación que utilice la API de E/S de imágenes de Apple al renderizar imágenes TIFF en mosaico. Esto significa que un atacante podría entregar una carga útil que explote con éxito esta vulnerabilidad utilizando una amplia gama de posibles vectores de ataque, incluidos iMessages, páginas web maliciosas, mensajes MMS u otros archivos adjuntos maliciosos abiertos por cualquier aplicación que haga uso de Apple Image I/ O API para renderizar este tipo de archivos.
El equipo también dijo que el exploit afecta a OS X 10.11.5 y anteriores, así como a iOS 9.3.2 y anteriores. La actualización a OS X 10.11.6 e iOS 9.3.3 soluciona el problema, y la Actualización de seguridad 2016-004 corrige la falla para OS X Mavericks 10.9.5 y OS X Yosemite 10.10.5.
Atrapado con miedo escénico
Esta falla de seguridad se compara con Stagefright, un grave exploit basado en mensajes de texto para usuarios de dispositivos Android. Si bien existen similitudes en el sentido de que ambos pueden usar MMS como vector de destino, también subraya una de las grandes debilidades de Android: las actualizaciones de software.
Apple y Google lanzaron parches para las vulnerabilidades respectivas, pero millones de usuarios de Android aún están en riesgo porque no pueden obtener las actualizaciones. Mientras que Apple controla todas las actualizaciones de sus dispositivos, Google suele estar a merced de los proveedores de servicios que deciden cuándo (o si) los usuarios de dispositivos Android recibirán actualizaciones.
Los usuarios de dispositivos Apple también tienden a actualizarse rápidamente, lo que ayuda a reducir posibles ataques maliciosos.
Manténgase alerta
La buena noticia es que Apple parchó el exploit de imagen antes de que tuviera la oportunidad de convertirse en algo más que una prueba de concepto, y el equipo de Talos esperó hasta que salió el parche para publicar sus hallazgos.
Los usuarios de OS X El Capitan que aún no han actualizado a la versión 10.11.6 deberían pasar a ella, y los usuarios de OS X Mavericks y Yosemite también deben instalar la actualización de seguridad 2016-004. Y los usuarios de iOS necesitan instalar la actualización 9.3.3 de inmediato.
Lo sentimos, usuarios de Android, están solos.
