Una misteriosa actualización del iPhone parchea el ataque al correo de iOS 16

Siempre hemos encontrado que la aplicación Mail es una herramienta muy útil que se adapta bien a nuestras necesidades: no es especialmente elegante, no tiene muchas características que nunca usamos, es visualmente simple y (hasta ahora) ha sido muy fiable.

Pero debe haber un problema grave en la última versión de la aplicación, porque Apple acaba de publicar un parche de seguridad de un solo fallo para iOS 16, llevando el número de versión a iOS 16.0.3, y corrigiendo una vulnerabilidad específica de Mail:

Se trata de un único fallo:

Impacto: El procesamiento de un mensaje de correo electrónico malintencionado puede provocar una denegación de servicio

Descripción: Se ha solucionado un problema de validación de entradas con una validación de entradas mejorada.

CVE-2022-22658

Boletín de un único error

Según nuestra experiencia, los boletines de seguridad de “un solo error” de Apple, o al menos de pocos errores, son la excepción más que la regla, y a menudo parecen llegar cuando hay un peligro claro y presente, como un exploit de día cero o una secuencia de exploits.

Quizás la actualización de emergencia reciente más conocida de este tipo fue una corrección de doble día cero en agosto de 2022 que parcheaba contra un ataque doble que consistía en un agujero de ejecución de código remoto en WebKit (una forma de entrar) seguido de un agujero de ejecución de código local en el propio kernel (una forma de tomar el control por completo).

Estos fallos fueron catalogados oficialmente no sólo como conocidos por personas ajenas a la empresa, sino también como objeto de abuso activo, presumiblemente para implantar algún tipo de malware que pudiera vigilar todo lo que hicieras, como fisgonear todos tus datos, hacer capturas de pantalla secretas, escuchar las llamadas telefónicas y tomar imágenes con tu cámara.

Alrededor de dos semanas después, Apple i lanzó una actualización inesperada iOS 12.Una versión antigua que la mayoría de nosotros asumió que era “abandonware”, habiendo estado notablemente ausente de las actualizaciones de seguridad oficiales de Apple durante casi un año antes de eso.

(Aparentemente, iOS 12 se vio afectado por el fallo de WebKit, pero no por el agujero del kernel que le siguió y que hizo que la cadena de ataques fuera mucho peor en los productos más recientes de Apple).

Esta vez, sin embargo, no se menciona que el fallo parcheado en la actualización de iOS 16.0.3 haya sido reportado por alguien ajeno a Apple, o de lo contrario esperaríamos ver el nombre del descubridor en el boletín, aunque sea como “un investigador anónimo”.

Tampoco hay ninguna sugerencia de que el fallo pueda ser conocido por los atacantes y, por lo tanto, ya esté siendo utilizado para hacer travesuras o algo peor, pero Apple parece pensar que es una vulnerabilidad sobre la que vale la pena emitir un boletín de seguridad.

Tienes correo, tienes correo, tienes correo…

Los denominados fallos de denegación de servicio (DoS) son a menudo considerados como los pesos ligeros de la escena de las vulnerabilidades, porque generalmente no proporcionan una vía para que los atacantes recuperen datos que no deberían ver, o para adquirir privilegios de acceso que no deberían tener o para ejecutar código malicioso de su propia elección.

Pero cualquier fallo de denegación de servicio puede convertirse rápidamente en un problema grave, especialmente si se repite una y otra vez una vez que se activa por primera vez.

Esta situación puede darse fácilmente en las aplicaciones de mensajería si el simple hecho de acceder a un mensaje con trampa bloquea la aplicación, ya que normalmente es necesario utilizar la aplicación para eliminar el mensaje problemático y si el bloqueo se produce con la suficiente rapidez, nunca tienes tiempo suficiente para pulsar el icono de la papelera o para borrar el mensaje malicioso antes de que la aplicación se bloquee de nuevo, y de nuevo, y de nuevo.

A lo largo de los años han aparecido numerosas historias sobre escenarios de “texto de la muerte” del iPhone de este tipo, incluyendo:

• Uno en 2013 que aparentemente estaba relacionado con múltiples cambios de dirección del texto (por ejemplo, cuando se inserta algún texto árabe de derecha a izquierda en una frase inglesa de izquierda a derecha).

• Uno en 2018 causado por la visualización de una combinación específica de caracteres

• Uno en 2020 que, irónicamente, implicaba una forma técnicamente legal pero totalmente extraña de escribir la palabra urdu para BAD.

Por supuesto, el otro problema con lo que llamamos en broma CRASH: GOTO CRASH bugs en las aplicaciones de mensajería es que otras personas pueden elegir cuándo enviarte un mensaje, y qué poner en el mensaje e incluso si utilizas algún tipo de regla de filtrado automatizado en la aplicación para bloquear los mensajes de remitentes desconocidos o que no son de confianza, la aplicación normalmente tendrá que procesar tus mensajes para decidir de cuáles deshacerse.

(Ten en cuenta que este informe de error se refiere explícitamente a un fallo debido al “procesamiento de un mensaje de correo electrónico malintencionado”).

Por lo tanto, la aplicación puede fallar de todos modos, y puede seguir fallando cada vez que se reinicie al tratar de manejar los mensajes que no logró manejar la última vez.

¿Qué hacer?

Tanto si tienes activadas las actualizaciones automáticas como si no, ve a Ajustes > General > Actualización de software para buscar (y, si es necesario, instalar) la corrección.

La versión que quieres ver después de la actualización es iOS 16.0.3 o posterior.

Teniendo en cuenta que Apple ha lanzado un parche de seguridad sólo para este fallo de denegación de servicio, suponemos que podría haber algo perturbador en juego si un atacante lo descubriera.

Por ejemplo, podrías acabar con un dispositivo apenas utilizable que tendrías que borrar por completo y volver a flashear para que vuelva a funcionar correctamente…

Fuente: https://news.sophos.com/es-es/2022/10/11/una-misteriosa-actualizacion-del-iphone-parchea-el-ataque-al-correo-de-ios-16/