Vulnerabilidades K2

Contacto

Lunes, 01 Junio 2020 11:05

Vulnerabilidades en Safari

El CERT de Entelgy Innotec Security, avisa de la publicación de vulnerabilidades altas en el navegador web Safari.

Nivel de peligrosidad: ALTO

Apple ha lanzado una nueva versión de su navegador web Safari que corrige una serie de vulnerabilidades, entre las que se encuentran dos de criticidad alta que se detallan a continuación:

CVE-2020-9800CVE-2020-9850: Vulnerabilidades que permiten a un posible atacante remoto ejecutar código en las versiones vulnerables de Safari. Se requiere la interacción del usuario para aprovechar estas vulnerabilidades, ya que el objetivo es  que éste visite una página especialmente diseñada por el atacante o bien que ejecute un archivo dañino. El fallo reside dentro de la implementación del nodo HasIndexedProperty DFG. Al realizar acciones en JavaScript, un atacante puede desencadenar una condición de confusión de tipos (el código no verifica los objetos antes de ejecutarlos) y aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.

Ambos CVE han sido calificados con una puntuación de 8.8 y 7.3 respectivamente según la escala CVSSv3 y por el momento la base de datos del NIST no ha registrado ninguno de ellos. Hasta la fecha, tampoco se tiene conocimiento de exploits, pruebas de concepto, o ataques en la red que aprovechen estas vulnerabilidades.

Recursos afectados:

  • Apple Safari. Versiones anteriores a la 13.1.1 

Solución a la vulnerabilidad:

Para mantener Safari actualizado para la versión de macOS en uso, se deben instalar las actualizaciones más recientes de macOS que incluyen la versión más reciente de Safari. Para versiones anteriores de macOS, es posible que Safari también esté disponible por separado en la pestaña “Actualizaciones” o en el App Store.

Recomendaciones:

El equipo de ciberinteligencia de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas a las actualizaciones ofrecidas por el fabricante para solucionar las vulnerabilidades.

Referencias:

Security content of Safari 13.1.1

Comparte

S5 Box