Google ha dado a conocer una serie de vulnerabilidades que afectaban a múltiples equipos de Apple y que permitían que un atacante ejecutara código malicioso escondido en una imagen. Los seis fallos de seguridad podían comprometer toda clase de dispositivos, incluyendo el iPhone, Apple Watch o los computadores con macOS.
De acuerdo con Project Zero, el problema se encontraba en el framework ImageIO que se encarga de procesar los archivos multimedia del sistema operativo. ImageIO analiza el archivo de imagen y los metadatos para determinar qué formato de archivo es. El equipo descubrió seis fallos en formatos como DDS, PVR, JPEG y ocho más en OpenEXR, este último es utilizado en imágenes HDR.
El equipo de Google probó cómo ImageIO manejaba de un modo erróneo el procesamiento de estos formatos, abriendo la puerta a que un atacante aprovechara la vulnerabilidad para insertar código malicioso. Esto sería un peligro para el usuario final, ya que con solo recibir una imagen en una app de mensajería el exploit sería aprovechado, sin necesidad de realizar una acción adicional.
El hallazgo ha sido documentado por Google, quien anteriormente avisó a Apple del problema y procedieron a liberar los parches de seguridad en todos los sistemas operativos. De acuerdo con la nueva política de divulgación anunciada a principios de año, el Project Zero mantuvo su promesa de esperar 90 días antes de hacer público el hallazgo de este fallo.
Apple deberá seguir analizando sus librerías del sistema
Los investigadores recomendaron a Apple continuar realizando pruebas utilizando la técnica de "fuzzing" — usada para descubrir estos fallos — con el fin de asegurar que las bibliotecas del sistema no son vulnerables a un ataque. Este tipo de fallos, según Project Zero, son de los favoritos a explotar por los hackers ya que no requieren una interacción del usuario para infectar el dispositivo.
Vale la pena mencionar que no son fallos que puedan aprovecharse de modo sencillo, según los expertos de Google. Por ahora no hay mucho que podamos hacer, mas que asegurarnos que nuestro teléfono, computador o cualquier dispositivo cuenta con la última actualización de seguridad ofrecida por el fabricante.
Si bien las actualizaciones se liberan automáticamente y avisan al usuario, no está de más acceder de modo manual a las opciones del sistema en cada dispositivo para revisar si no hay algún parche disponible que se haya liberado hoy.