En Resumen

  • Apple confirmó una vulnerabilidad en dispositivos que permitía la ejecución remota de código malicioso a través de JavaScript, afectando usuarios de criptomonedas.
  • Investigadores de Google descubrieron el error, que podría permitir a los atacantes robar datos sensibles como claves privadas y contraseñas almacenadas en el navegador.
  • A pesar de las vulnerabilidades a nivel de chip en los dispositivos Apple, la empresa lanzó actualizaciones de software para corregir el problema de JavaScriptCore en iPhones, iPads y Macs.

Apple confirmó el lunes que sus dispositivos quedaron expuestos a una vulnerabilidad que permitía la ejecución remota de código malicioso a través de JavaScript basado en la web, abriendo un vector de ataque que podría haber afectado a los usuarios de criptomonedas.

Según un reciente aviso de seguridad de Apple, los usuarios deben usar las últimas versiones de su software JavaScriptCore y WebKit para parchar la vulnerabilidad.

El error, descubierto por investigadores del grupo de análisis de amenazas de Google, permite "procesar contenido web maliciosamente diseñado", lo que podría llevar a un "ataque de scripting entre sitios".

Lo más alarmante es que Apple también admitió que "tiene conocimiento de un informe que indica que este problema podría haber sido explotado activamente en sistemas Mac basados en Intel."

Apple también emitió un aviso de seguridad similar para usuarios de iPhone y iPad, señalando que la vulnerabilidad de JavaScriptCore permitía que "el procesamiento de contenido web maliciosamente elaborado pueda llevar a la ejecución de código arbitrario".

En otras palabras, Apple se dio cuenta de una falla de seguridad que podría permitir a los hackers tomar el control del iPhone o iPad de un usuario si visitan un sitio web dañino. Sin embargo, la actualización debería resolver el problema, dijo Apple.

Jeremiah O’Connor, CTO y cofundador de la firma de ciberseguridad en criptomonedas Trugard, le dijo a Decrypt que "los atacantes podrían acceder a datos sensibles como claves privadas o contraseñas" almacenadas en su navegador, lo que permitiría el robo de criptomonedas si el dispositivo del usuario no se parcheaba.

Las revelaciones sobre la vulnerabilidad dentro de la comunidad cripto comenzaron a circular en las redes sociales el miércoles, con el ex CEO de Binance, Changpeng Zhao, lanzando la alarma en un tweet aconsejando que los usuarios de Macbooks con CPUs Intel actualicen lo antes posible.

El desarrollo sigue a los informes de marzo que los investigadores de seguridad han descubierto una vulnerabilidad en los chips de generaciones anteriores de Apple, sus series M1, M2 y M3, que podrían permitir a los hackers robar claves de criptomonedas.

La vulnerabilidad, que no es nueva, aprovecha el "prefetching", un proceso utilizado por los propios chips de la serie M de Apple para acelerar las interacciones con los dispositivos de la compañía. El prefetching puede ser explotado para almacenar datos sensibles en la caché del procesador y luego acceder a ellos para reconstruir una clave criptográfica que se supone que es inaccesible.

Desafortunadamente, ArsTechnica informa que este es un problema significativo para los usuarios de Apple, ya que una vulnerabilidad a nivel de chip no se puede resolver mediante una actualización de software.

Una posible solución alternativa puede aliviar el problema, sacrificando rendimiento por seguridad.

Editado por Stacy Elliott y Sebastian Sinclair

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.