Apple lanzó el miércoles parches de seguridad para abordar una nueva falla de día cero en iOS y iPadOS que, según dijo, ha sido explotada activamente en la naturaleza.
Seguimiento como CVE-2023-42824, un atacante local podría aprovechar la vulnerabilidad del kernel para elevar sus privilegios. El fabricante del iPhone dijo que abordó el problema con controles mejorados.
«Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.6», dijo la compañía. anotado en un escueto aviso.
Si bien actualmente se desconocen detalles adicionales sobre la naturaleza de los ataques y la identidad de los actores de amenazas que los perpetran, la explotación exitosa probablemente depende de que un atacante ya haya obtenido un punto de apoyo inicial por algún otro medio.
La última actualización de Apple también resuelve CVE-2023-5217 que afecta al componente WebRTC, que Google describió la semana pasada como un desbordamiento de búfer basado en montón en el formato de compresión VP8 en libvpx.
Los parches, iOS 17.0.3 y iPadOS 17.0.3, están disponibles para los siguientes dispositivos:
- iPhone XS y posterior
- iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores y iPad mini de quinta generación y posteriores
Con este nuevo desarrollo, Apple ha abordado un total de 17 días cero explotados activamente en su software desde principios de año.
También llega dos semanas después de que Cupertino implementara correcciones para resolver tres problemas (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993), de los cuales se dice que han sido abusados por un proveedor de software espía israelí llamado Cytrox instalará el malware Predator en el iPhone del ex miembro del parlamento egipcio Ahmed Eltantawy a principios de este año.
Un punto que vale la pena señalar aquí es que CVE-2023-41992 también se refiere a una deficiencia en el kernel que permite a los atacantes locales lograr una escalada de privilegios.
No está claro de inmediato si las dos fallas tienen alguna conexión entre sí y si CVE-2023-42824 es un parche para evitar CVE-2023-41992.
Sekoia, en un análisis reciente, dijo que encontró similitudes de infraestructura entre los clientes de Cytrox (también conocido como Lycantrox) y otra empresa comercial de software espía llamada Candiru (también conocido como Karkadann), probablemente debido a que utilizan ambas tecnologías de software espía.
«La infraestructura utilizada por Lycantrox consiste en VPS alojados en varios sistemas autónomos», afirma la firma francesa de ciberseguridad dichoy cada cliente parece ejecutar sus propias instancias de VPS y administrar sus propios nombres de dominio relacionados con él.
Se recomienda a los usuarios que corren el riesgo de ser atacados que habiliten el modo de bloqueo para reducir la exposición a exploits de software espía mercenario.