Una actualización para la aplicación de accesos directos de Apple corrige agujeros de seguridad que permiten acciones maliciosas

Además de solucionar el error de escuchas grupales FaceTime en iPhone, iPad y Mac con la actualización de software iOS 12.1.4 y la actualización complementaria macOS Mojave 10.14.3, Apple también ha resuelto un importante problema de seguridad encontrado recientemente en su aplicación Shortcuts para iPhone y iPad .

Como informamos la semana pasada, la aplicación estuvo plagada de una supervisión importante que permitió a un atacante crear y distribuir un atajo malicioso que recopilaría contactos, direcciones, archivos y otros datos de usuario y enviaría un archivo ZIP a través de iMessage a un atacante en segundo plano.

Aunque las notas de la versión de App Store que acompañan a la actualización de Accesos directos 2.1.3 de hoy solo mencionan correcciones de errores y mejoras no especificadas, un documento de soporte en el sitio web de Apple ofrece información detallada sobre el contenido de seguridad de la actualización.

Por la presente, libero el POC de acceso directo malicioso (https://t.co/xa2KGHGnLL) que fue mencionado por @twolivesleftand por @EdFromFreelance en su artículo. 🙂 deja que haga su trabajo. Fotos / videos a continuación (Como señaló @bzamayo.

– Avimanyu Roy (@ AvimanyuRoy3) 31 de enero de 2019

El primer error permitió a un usuario local ver información confidencial del usuario debido a un problema de análisis en el manejo de rutas de directorio que se abordó con una validación de ruta mejorada.

El otro defecto, que eludió las restricciones de sandbox de Apple, también se solucionó. El documento de seguridad acredita a Avimanyu Roy por informar estos problemas.

“Nos gustaría agradecer a Sem Voigtländer de Fontys Hogeschool ICT por su ayuda”, se lee en el documento.

Shortcuts es una descarga gratuita de las tiendas de aplicaciones.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *