Apple lanzó el viernes actualizaciones de seguridad para iOS, iPad OS, Mac OSy navegador web safari para abordar un par de fallas de día cero que se están explotando en la naturaleza.
Las dos vulnerabilidades son las siguientes:
- CVE-2023-28205 – A usar después de la emisión gratuita en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
- CVE-2023-28206 – Un problema de escritura fuera de los límites en IOSurfaceAccelerator que podría permitir que una aplicación ejecute código arbitrario con privilegios de kernel.
Apple dijo que abordó CVE-2023-28205 con una gestión de memoria mejorada y el segundo con una mejor validación de entrada, y agregó que sabe que los errores «pueden haber sido explotados activamente».
Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, y Donncha Ó Cearbhaill, del Laboratorio de Seguridad de Amnistía Internacional, atribuyen el descubrimiento y la denuncia de las fallas.
Los detalles sobre las dos vulnerabilidades se han retenido a la luz de la explotación activa y para evitar que más actores de amenazas abusen de ellas.
Las actualizaciones están disponibles en la versión iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 y Safari 16.4.1. Las correcciones también abarcan una amplia gama de dispositivos:
- iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- Mac con macOS Big Sur, Monterey y Ventura
Apple ha parcheado tres días cero desde principios de año. En febrero, Apple abordó otro día cero explotado activamente (CVE-2023-23529) en WebKit que podría resultar en la ejecución de código arbitrario.
El desarrollo también se produce cuando Google TAG reveló que los proveedores comerciales de spyware están aprovechando los días cero en Android e iOS para infectar dispositivos móviles con malware de vigilancia.