Ayer por la tarde, hora española, la compañía con sede en Cupertino lanzó iOS 12.1.4, la esperada actualización que solucionaba el problema de seguridad de FaceTime que se encontraba en iOS y que permitía al emisor de una llamada, descolgar automáticamente al añadir a una tercera persona a la misma, por lo que los servidores de Apple vuelven a permitir realizar llamadas en grupo.
En si, únicamente entre los dispositivos que estén gestionados por iOS 12.1.4. Si tu dispositivo no está gestionado por esa versión, las llamadas en grupo a través de FaceTime no están disponibles a no ser que actualices. Pero parece que esta última actualización, no corrige únicamente el problema de las llamadas, sino que además, según un ingeniero de seguridad de Google, corrige dos vulnerabilidades 0-day.
Las vulnerabilidades 0-day (día cero) son aquellas que se encuentran presentes en las aplicaciones o sistemas operativos desde que se encuentran a disposición del público sin que desarrollador tenga conocimiento de ella, de forma que siempre han estado disponibles para por explotar, de ahí que se denominen 0-day (día cero).
Si tenías alguna duda acerca de si actualizar o no a iOS 12.1.4, la presencia de estas dos vulnerabilidades es una prueba más de que siempre es recomendable actualizar nuestro sistema operativo a la última versión disponible, tanto del sistema operativo que utilizamos como de las aplicaciones.
Ben Hawker, el ingeniero de seguridad de Google que ha informado acerca de estas dos vulnerabilidades, identificadas como CVE-2019-7286 y CVE-2019-7287, afirma que la primera de ellas permite que un tercero pueda utilizar una corrupción de la memoria para obtener privilegios elevados.
La segunda de ellas, permite a un atacante ejecutar código arbitrario con privilegios de kernel, debido al problema de corrupción de memoria anterior. Lógicamente no se han dado más detalles debido a la importancia de este tipo de vulnerabilidad ya que muchos dispositivos todavía no se han actualizado.
Estos problemas de seguridad fueron detectadas por Google a través de la plataforma Project Zero, plataforma que se encarga de detectar fallos de seguridad tanto en aplicaciones como en sistemas operativos e informar previamente a los afectados, dándoles un plazo de 90 días para solucionar el problema antes de hacerlo público.
