Ayer Apple publicó ayer iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 y watchOS 9.6.2, sin dar muchos detalles más allá de la corrección de bugs y problemas de seguridad no determinados. Unas horas después nos enteramos que esas actualizaciones de seguridad son bastante más importantes de lo que nos habíamos imaginado.
Según la página de actualizaciones de seguridad de la web de Apple, las vulnerabilidades que corrigen estas actualizaciones permitían tomar el control de un iPhone, iPad, Watch o Mac remotamente con algo tan simple como visualizar una imagen.
Un fichero de imagen preparado para provocar el problema permitía la ejecución de código tras un desbordamiento de pila, algo muy típico y clásico desde hace décadas en muchos sistemas informáticos. Esto puede puede ser utilizado por ejemplo para abrir una puerta trasera por la que extraer datos de un iPhone o hacerle hacer otras cosas. Apple ha corregido un componente llamado ImageIO para solucionar este problema. La imagen se cargaba a través de la App de Cartera (Wallet) enviándola antes, por ejemplo, vía iMessage en la App de Mensajes.
Según cuentan en Citizen Lab, esta vulnerabilidades es parte de una cadena de bugs utilizados activamente en la comunidad de hackers dedicados a estos menesteres, llamada BLASTPASS. Se ha utilizado, por ejemplo, para instalar el software de espionaje Pegasus del NSO Group.