Apple ha respaldado correcciones para una falla de seguridad crítica revelada recientemente que afecta a dispositivos más antiguos, citando evidencia de explotación activa.
El problema, rastreado como CVE-2022-42856, es una vulnerabilidad de confusión de tipo en el motor del navegador WebKit que podría resultar en la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.
Si bien la empresa lo abordó originalmente el 30 de noviembre de 2022, como parte de la actualización de iOS 16.1.2, el parche se amplió a un conjunto más amplio de dispositivos Apple con iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 y Safari 16.2.
«Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.1», dijo el fabricante del iPhone. dicho en un aviso publicado el lunes.
Con ese fin, la última actualización, iOS 12.5.7, está disponible para iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6.ª generación).
A Clément Lecigne del Threat Analysis Group (TAG) de Google se le atribuye el descubrimiento de la vulnerabilidad, aunque actualmente se desconocen los detalles exactos que rodean los intentos de explotación en la naturaleza.
La actualización viene como Apple publicado iOS 16.3, iPadOS 16.3, macOS Ventura 13.2, watchOS 9.3 y Safari 16.3 para remediar una larga lista de fallas de seguridad, que incluyen dos bichos en WebKit que podría conducir a la ejecución del código.
macOS Ventura 13.2 también soluciona dos vulnerabilidades de denegación de servicio en ImageIO y Safari, junto con tres fallas en el Kernel que podrían aprovecharse para filtrar información confidencial, determinar su diseño de memoria y ejecutar código malicioso con privilegios elevados.
Sin embargo, no todo son correcciones de errores. Las actualizaciones también traen consigo la capacidad de usar claves de seguridad de hardware para bloquear las ID de Apple para una autenticación de dos factores resistente al phishing. También amplían la disponibilidad de Protección de datos avanzada fuera de los EE. UU.