Apple lanzó recientemente la actualización visionOS 2.1 para los auriculares de realidad mixta Apple Vision Pro, solucionando una serie de vulnerabilidades de seguridad críticas que podrían afectar gravemente la privacidad del usuario y la integridad del dispositivo.
Esta actualización incluye correcciones para más de 25 problemas de seguridad que podrían permitir que un atacante malintencionado ejecute código arbitrario, acceda a datos confidenciales o provoque una falla del sistema.
Entre las vulnerabilidades más críticas parcheadas se encuentran los problemas de corrupción de la memoria del kernel que podrían permitir que las aplicaciones provoquen una terminación inesperada del sistema o daños en la memoria del kernel.
Esta actualización también resuelve varias vulnerabilidades relacionadas con WebKit, incluida una que podría causar una falla inesperada del proceso al procesar contenido web creado con fines malintencionados.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
Vulnerabilidades parcheadas
La actualización de visionOS 2.1 apunta a varias vulnerabilidades de alta gravedad identificadas en varios componentes del sistema operativo.
Uno de los problemas clave resueltos fue un problema de manejo de rutas que podría permitir que aplicaciones maliciosas ejecutaran accesos directos arbitrarios sin el consentimiento del usuario, lo que podría conducir a un acceso no autorizado a datos confidenciales. Este problema se solucionó con una verificación lógica mejorada (CVE-2024-44255).
Otra vulnerabilidad crítica involucra el componente CoreMedia Playback, donde el manejo inadecuado de enlaces simbólicos podría permitir que una aplicación maliciosa acceda a información personal. Este problema se mitigó con un manejo mejorado de enlaces simbólicos (CVE-2024-44273).
Se corrigieron varias vulnerabilidades a nivel del kernel, incluido un problema de divulgación de información que podría permitir que las aplicaciones filtren estados confidenciales del kernel. Este problema se solucionó mediante la edición mejorada de datos privados de las entradas de registro (CVE-2024-44239).
Además, la administración de memoria mejorada solucionó un problema de uso después de la liberación en el componente IOSurface que podría causar una terminación inesperada del sistema o corrupción de la memoria del kernel (CVE-2024-44285).
WebKit, el motor web que impulsa Safari en Apple Vision Pro, también recibió actualizaciones importantes. Los problemas que incluyen corrupción de memoria y falta de aplicación de la Política de seguridad de contenido (CSP) al procesar contenido web creado con fines malintencionados se solucionaron con comprobaciones y validaciones de entrada mejoradas (CVE-2024-44244, CVE-2024-44296).
Para mejorar la privacidad del usuario, Apple ha solucionado varias vulnerabilidades relacionadas con la fuga de datos. Por ejemplo, un error en la pantalla de bloqueo que permitía a los usuarios ver información confidencial se solucionó con una edición mejorada de datos confidenciales (CVE-2024-44262).
De manera similar, los problemas en Siri y los registros del sistema que potencialmente podrían exponer datos confidenciales del usuario se abordaron con medidas mejoradas de edición y verificación (CVE-2024-44194, CVE-2024-44278).
Otras correcciones notables
Otras correcciones notables incluyen:
ImageIO: Se abordaron múltiples problemas relacionados con el procesamiento de imágenes, incluidas las lecturas fuera de límites y las vulnerabilidades de denegación de servicio, con una validación de entrada y una verificación de límites mejoradas (CVE-2024-44215, CVE-2024-44297). Configuración administrada: una vulnerabilidad que podría permitir que un archivo de respaldo malicioso modifique los archivos protegidos del sistema se soluciona con un manejo mejorado de enlaces simbólicos (CVE-2024-44258). Descargas de Safari: un problema que podría permitir a un atacante explotar las relaciones de confianza para descargar contenido malicioso se resuelve con una gestión de estado mejorada (CVE-2024-44259).
Se recomienda encarecidamente a los usuarios de Apple Vision Pro que actualicen sus dispositivos a visionOS 2.1 lo antes posible para reducir estos riesgos de seguridad. Esta actualización está disponible a través del proceso de actualización de software estándar.
El enfoque proactivo de Apple para abordar estas vulnerabilidades subraya el compromiso de la empresa de garantizar la seguridad y privacidad del usuario, especialmente en tecnologías emergentes como la realidad mixta.
Apple reconoce las contribuciones de varios investigadores y equipos de seguridad, incluida la iniciativa Trend Micro Zero Day, CrowdStrike Counter Adversary Operations y varios investigadores individuales, por su papel en la identificación y notificación de estas vulnerabilidades. Este esfuerzo de colaboración es fundamental para mantener la postura de seguridad del ecosistema de Apple.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!