¿Te acuerdas de Stagefright?
Fue uno de los mayores sustos de seguridad para Android de 2015, luego de que se descubriera que una falla crítica en el Mediaserver del sistema operativo podía implicar que tan solo por abrir un e-mail, visitar un sitio web o recibir un MMS podía ejecutarse código malicioso en el dispositivo.
Muchos millones de dispositivos Android eran vulnerables, y fue algo tan preocupante que Google se vio obligada a ponerse más seria respecto a la forma en que lanzaría actualizaciones y parches para sus usuarios en el futuro. Mientras tanto, ESET lanzó una aplicación gratuita para que todos pudiesen averiguar si su Android era vulnerable.
Claro que si eras dueño de in iPhone no tenías nada de qué preocuparte y no podías evitar presumir un poco acerca de esto.
Y si todavía no lo hiciste, es hora de borrar la sonrisa de tu cara.
Ahora los dueños de iPhones, iPads, iMacs y MacBooks se enfrentan a su propio bug parecido a Stagefright. Esta semana, Apple lanzó parches para sus sistemas operativos OS X y iOS para cubrir numerosos agujeros de seguridad, incluyendo cinco vulnerabilidades que tienen un parecido escalofriante con Stagefright.
ImageIO
Impacto: un atacante remoto podría ser capaz de ejecutar código arbitrario
Descripción: múltiples problemas de corrupción de memoria fueron corregidos a través de un mejor manejo de memoria.
Al igual que con Stagefright, que asustaba a usuarios de Android, el ataque funciona porque hay bugs explotables en la forma en que los iPhones y las Macs de Apple procesan archivos de imagen para hacer imágenes en miniatura (thumbnails). Las vulnerabilidades en ese código de creación de thumbnails pueden ser explotadas por un archivo de imagen maliciosamente manipulado, incluyendo formatos .BMP y .TIFF, para lograr la ejecución remota de código en el dispositivo víctima.
En resumen, un atacante podría enviarte por mail un .TIFF malformado, o dirigirte a una página web donde hay uno insertado, o enviarlo directamente a tu teléfono por MMS si conocen tu número. Cualquiera sea el camino que elija, si logra engañar a tu computadora para que haga la miniatura de la imagen malformada, tu Mac o tu smartphone estaría en peligro.
Las fallas fueron descubiertas por investigadores del equipo Talos de Cisco, quienes notaron que los archivos de imagen manipulados "son un excelente vector para ataques ya que pueden ser distribuidos fácilmente vía web o tráfico de correo electrónico sin levantar sospecha en el receptor".
La buena noticia es que Apple emitió correcciones para el problema a principios de esta semana. Si ya has actualizado tus sistemas a iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2 y El Capitan v10.11.6 has hecho lo correcto.
La otra buena noticia es que para los usuarios de Apple típicamente es mucho más fácil instalar actualizaciones que para sus primos de Android.
Quizá puedes permitirte el lujo de tener una mirada un poco presumida, después de todo... solo asegúrate de que todos tus dispositivos están parcheados antes de que los cibercriminales traten de aprovecharse de esta falla.
Sigue leyendo: ¿Por qué el software es vulnerable? La importancia de los parches