Si desarrollas software para Apple, deberías actualizar Xcode a la versión 11.2 (por tu seguridad y la nuestra)

Apple acaba de sacar una actualización del programa más usado para desarrollar software en su ecosistema: Xcode. Esto no es algo nuevo, suele ocurrir siempre después de una gran actualización de versión del sistema operativo macOS o iOS, ya que estos suelen incluir nuevas funcionalidades. En cambio, la versión 11.2  de Xcode (la que acaba de publicar Apple) es un poco diferente a las demás. Esta vez viene provocada más bien por grandes problemas de seguridad que ahora veremos.
Las vulnerabilidades CVE-2019-8800 y CVE-2019-8806 son la causante principal de esta nueva actualización. Al parecer, la tarea en principio inocua de crear y compilar un proyecto de software podría inyectar malware en el sistema y sobre todo, en el código compilado. En principio, esto no parece muy importante ya que todos sabemos que estos programas suelen ejecutarse dentro de una cadena DevSecOps en el mejor de los casos o simplemente en entornos aislados para probarlos, como máquinas virtuales. Pero no todos los desarrolladores o los procesos de compilación tienen las medidas de seguridad adecuadas.
Figura 1. Tanto Catalina como el App Store no mencionan esta actualización. Fuente.

Hace unos años, el virus W32/Induc-A se propagó por todo el mundo, siendo muy complicado eliminarlo. El motivo, estaba dirigido específicamente a desarrolladores de software, en concreto de Delphi, y lo que hacía era atacar directamente el compilador, inyectando el código malicioso dentro del mismo proceso de compilación. Es decir, te habrás convertido en una auténtica fábrica de malware, ya que todo el software compilado en el equipo infectado llevará por defecto el código malicioso en su código fuente.
Por lo tanto, la importancia de actualizar Xcode es extrema, ya que en caso contrario podríamos volver a tener un incidente similar al ocurrido con Delphi. Por cierto, a la hora de escribir este artículo y según el artículo original, no aparecía ninguna actualización pendiente en macOS o la App Store, por lo tanto la operación de actualización de Xcode hasta el día de hoy es manual. Puedes descargarla desde esta dirección.
Figura 2. Búsqueda manual de la versión Xcode 11.2 que soluciona las vulnerabilidades mencionadas. Fuente.
Realmente no hay nada más aterrador que un malware que infecte a los desarrolladores, y en concreto a sus herramientas como Xcode, de ahí la importancia de actualizarlo lo antes posible. 

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.