Apple lanzó el miércoles un un montón de actualizaciones para iOS, iPadOS, macOS, watchOS y el navegador Safari para abordar un conjunto de fallas que, según dijo, se explotaron activamente en la naturaleza.
Esto incluye un par de días cero que han sido armados en una campaña de vigilancia móvil llamada Operación Triangulación que ha estado activa desde 2019. Se desconoce el actor de amenazas exacto detrás de la campaña.
- CVE-2023-32434 – Una vulnerabilidad de desbordamiento de enteros en el Kernel que podría ser aprovechada por una aplicación maliciosa para ejecutar código arbitrario con privilegios del kernel.
- CVE-2023-32435 – Una vulnerabilidad de corrupción de memoria en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
El fabricante de iPhone dijo que es consciente de que los dos problemas «pueden haber sido explotados activamente contra versiones de iOS lanzadas antes de iOS 15.7», y le dio crédito a los investigadores de Kaspersky Georgy Kucherin, Leonid Bezvershenko y Boris Larin por informarlos.
El aviso se produce cuando el proveedor ruso de seguridad cibernética analizó el implante de spyware utilizado en la campaña de ataque de clic cero dirigida a dispositivos iOS a través de iMessages que contenía un archivo adjunto integrado con un exploit para una vulnerabilidad de ejecución remota de código (RCE).
El código de explotación también está diseñado para descargar componentes adicionales para obtener privilegios de raíz en el dispositivo de destino, después de lo cual la puerta trasera se implementa en la memoria y el iMessage inicial se elimina para ocultar el rastro de la infección.
El sofisticado implante, llamado TriangleDB, opera únicamente en la memoria, sin dejar rastros de la actividad que sigue al reinicio del dispositivo. También viene con diversas capacidades de recopilación y seguimiento de datos.
Esto incluye «interactuar con el sistema de archivos del dispositivo (incluida la creación, modificación, exfiltración y eliminación de archivos), administrar procesos (listado y terminación), extraer elementos del llavero para recopilar las credenciales de la víctima y monitorear la geolocalización de la víctima, entre otros».
También parcheado por Apple es un tercer día cero CVE-2023-32439que se ha informado de forma anónima y podría dar lugar a la ejecución de código arbitrario al procesar contenido web malicioso.
La falla explotada activamente, descrita como un problema de confusión de tipos, se ha solucionado con controles mejorados. Las actualizaciones están disponibles para las siguientes plataformas:
- iOS 16.5.1 y iPadOS 16.5.1 – iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- iOS 15.7.7 y iPadOS 15.7.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
- macOS Ventura 13.4.1, macOS Monterrey 12.6.7y macOS Big Sur 11.7.8
- relojOS 9.5.2 – Apple Watch Serie 4 y posteriores
- reloj OS 8.8.1 – Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7 y SE, y
- Safari 16.5.1 – Mac con macOS Monterey
Con la última ronda de correcciones, Apple ha resuelto un total de nueve fallas de día cero en sus productos desde principios de año.
En febrero, la empresa corrigió una falla de WebKit (CVE-2023-23529) que podría conducir a la ejecución remota de código. En abril, lanzó actualizaciones para dos errores (CVE-2023-28205 y CVE-2023-28206) que permitían la ejecución de código con privilegios elevados.
Posteriormente, en mayo, envió parches para tres vulnerabilidades más en WebKit (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) que podrían permitir que un actor de amenazas escape a la protección de la zona de pruebas, acceda a datos confidenciales y ejecutar código arbitrario.