manzana el jueves implementó actualizaciones de seguridad a iOS, iPadOS, macOS, tvOS, watchOS y el navegador web Safari para abordar tres nuevas fallas de día cero que, según dijo, se están explotando activamente en la naturaleza.
Las tres deficiencias de seguridad se enumeran a continuación:
- CVE-2023-32409 – Una falla de WebKit que podría ser aprovechada por un actor malicioso para salir del entorno limitado de contenido web. Se solucionó con controles de límites mejorados.
- CVE-2023-28204 – Un problema de lectura fuera de los límites en WebKit que podría abusarse para revelar información confidencial al procesar contenido web. Se solucionó mejorando la validación de entrada.
- CVE-2023-32373 – Un error de uso posterior gratuito en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. Se solucionó mejorando la gestión de la memoria.
El fabricante del iPhone le dio crédito a Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google y a Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional por informar CVE-2023-32409. Un investigador anónimo ha sido reconocido por informar los otros dos problemas.
Vale la pena señalar que tanto CVE-2023-28204 como CVE-2023-32373 se parchearon como parte de Actualizaciones de respuesta de seguridad rápida – iOS 16.4.1 (a) y iPadOS 16.4.1 (a) – la compañía lanzó a principios de mes.
Actualmente no hay detalles técnicos adicionales sobre las fallas, la naturaleza de los ataques o la identidad de los actores de amenazas que pueden estar explotándolos.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Dicho esto, tales debilidades se han aprovechado históricamente como parte de intrusiones altamente dirigidas para desplegar spyware mercenario en los dispositivos de disidentes, periodistas y activistas de derechos humanos, entre otros.
Las últimas actualizaciones están disponibles para los siguientes dispositivos:
- iOS 16.5 y iPadOS 16.5 – iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- iOS 15.7.6 y iPadOS 15.7.6 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
- macOS Ventura 13.4 -macOS Ventura
- tvOS 16.5 – Apple TV 4K (todos los modelos) y Apple TV HD
- relojOS 9.5 – Apple Watch Serie 4 y posteriores
- Safari 16.5 – macOS Big Sur y macOS Monterey
Hasta ahora, Apple ha reparado un total de seis días cero explotados activamente desde el comienzo de 2023. A principios de febrero, la compañía solucionó una falla de WebKit (CVE-2023-23529) que podría conducir a la ejecución remota de código.
Luego, el mes pasado, envió correcciones para un par de vulnerabilidades (CVE-2023-28205 y CVE-2023-28206) que permitían la ejecución de código con privilegios elevados. A Lecigne y Ó Cearbhaill se les atribuyó el informe de los defectos de seguridad.