Cinco investigadores de seguridad analizaron varios servicios
en línea de Apple durante el periodo del 6 de julio al 6 de octubre y de esta
investigación encontraron 55 vulnerabilidades, de las cuales 11 son de una gravedad
critica.
De estas 55 vulnerabilidades encontraron que 29 de las
vulnerabilidades son de una gravedad alta, 13 de gravedad media y 2 de gravedad
baja. Estas vulnerabilidades permiten a un atacante el recuperar el código
fuente de proyectos internos de Apple, lanzar un gusano informático que se
encargase automáticamente de una cuenta de iCloud de una víctima, incluso la
capacidad de acceder a herramientas de gestión y recursos sensibles gracias a la
posibilidad de hacerse cargo de las sesiones de los empleados de Apple.
Una de las vulnerabilidades permite a un atacante el
secuestrar con facilidad la cuenta de iCloud de un usuario conllevando esto la
posibilidad de robar todas las fotos, videos, documentos e información del calendario
además tendría la posibilidad de enviar de nuevo el exploit a todos los
contactos de esta cuenta.
Según ha informado el grupo de investigadores, estos errores
críticos permiten la inyección SQL a través de parámetros no depurados, evadir
la autenticación mediante permisos mal configurados que permiten el obtener
acceso de administrador, la posibilidad de ejecutar código remotamente a través
de claves filtradas y herramientas de administrador expuestas.
Los productos que se han visto afectados por estas
vulnerabilidades son iCloud para Windows, iOS, tvOS, Safari, watchOS y macOS
Catalina, High Sierra y Mojave. Los investigadores han recomendado como medida
de seguridad aplicar las últimas actualizaciones disponibles para los productos
mencionados anteriormente.
