Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo de ‘Pagar o Consentir’
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
Apple ha lanzado una actualización de firmware para los AirPods que podría permitir a un actor malintencionado obtener acceso no autorizado a los auriculares.
Registrado como CVE-2024-27867, el problema de autenticación afecta a los AirPods (2ª generación y posteriores), AirPods Pro (todos los modelos), AirPods Max, Powerbeats Pro y Beats Fit Pro.
«Cuando tus auriculares buscan una solicitud de conexión a uno de tus dispositivos previamente emparejados, un atacante en el rango de Bluetooth podría suplantar el dispositivo fuente previsto y obtener acceso a tus auriculares», dijo Apple en un aviso el martes.
En otras palabras, un adversario en proximidad física podría explotar la vulnerabilidad para escuchar conversaciones privadas. Apple dijo que el problema ha sido solucionado con una mejor gestión de estado.
Jonas Dreßler ha sido acreditado con el descubrimiento y reporte del fallo. Se ha corregido como parte de la Actualización de Firmware de AirPods 6A326, Actualización de Firmware de AirPods 6F8 y Actualización de Firmware de Beats 6F8.
El desarrollo se produce dos semanas después de que el fabricante del iPhone lanzara actualizaciones para visionOS (versión 1.2) para cerrar 21 deficiencias, incluidas siete fallas en el motor del navegador WebKit.
Uno de los problemas se refiere a un fallo de lógica (CVE-2024-27812) que podría resultar en una denegación de servicio (DoS) al procesar contenido web. El problema se ha solucionado con un mejor manejo de archivos, según se informó.
El investigador de seguridad Ryan Pickren, quien reportó la vulnerabilidad, la describió como el «primer hack de computación espacial del mundo» que podría ser utilizado para «eludir todas las advertencias y llenar forzosamente tu habitación con un número arbitrario de objetos 3D animados» sin interacción del usuario.
La vulnerabilidad aprovecha el fallo de Apple al no aplicar el modelo de permisos al usar la función Quick Look de ARKit para generar objetos 3D en la habitación de la víctima. Para empeorar las cosas, estos objetos animados continúan presentes incluso después de salir de Safari, ya que son manejados por una aplicación separada.
«Aún más, ni siquiera requiere que esta etiqueta de anclaje haya sido ‘clicada’ por el usuario», dijo Pickren. «Así que el clic programático de JavaScript (es decir, document.querySelector(‘a’).click()) funciona sin problema alguno. Esto significa que podemos lanzar un número arbitrario de objetos 3D, animados y con sonido sin ninguna interacción del usuario.»
Tags :
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
Expertos descubren una red de delincuencia cibernética china detrás de actividades de juego y...
Google abandona el plan de eliminar gradualmente las cookies de terceros en Chrome Luis...