Apple tiene liberado actualizaciones de software para iOS, iPadOS, macOS y el navegador web Safari para abordar dos fallas de seguridad que, según dijo, han sido explotadas activamente en versiones anteriores de su software.
Las vulnerabilidades, las cuales residen en el motor del navegador web WebKit, se describen a continuación:
- CVE-2023-42916 – Un problema de lectura fuera de límites que podría aprovecharse para filtrar información confidencial al procesar contenido web.
- CVE-2023-42917 – Un error de corrupción de memoria que podría resultar en la ejecución de código arbitrario al procesar contenido web.
Apple dijo que está al tanto de los informes que explotan las deficiencias «en versiones de iOS anteriores a iOS 16.7.1», que se lanzó el 10 de octubre de 2023. A Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google se le atribuye el descubrimiento y el informe de las fallas gemelas. .
El fabricante del iPhone no proporcionó información adicional sobre la explotación en curso, pero los días cero en iOS, previamente revelados, se han utilizado para entregar software espía mercenario dirigido a personas de alto riesgo, como activistas, disidentes, periodistas y políticos.
Vale la pena señalar aquí que todos los navegadores web de terceros disponibles para iOS y iPadOS, incluidos Google Chrome, Mozilla Firefox y Microsoft Edge, entre otros, funcionan con el motor de renderizado WebKit debido a las restricciones impuestas por Apple, lo que lo convierte en un superficie de ataque lucrativa y amplia.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 17.1.2 y iPadOS 17.1.2 – iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores y iPad mini de quinta generación y después
- macOS Sonoma 14.1.2 – Macs con macOS Sonoma
- Safari 17.1.2 – Macs con macOS Monterey y macOS Ventura
Con las últimas correcciones de seguridad, Apple ha solucionado hasta 19 días cero explotados activamente desde principios de 2023. También se produce días después de que Google enviara correcciones para una falla de alta gravedad en Chrome (CVE-2023-6345) que también sufre ataques del mundo real, lo que lo convierte en el séptimo día cero parcheado por la compañía este año.