Apple lanzó el lunes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una falla de día cero que ha sido explotada activamente en la naturaleza.
El problema, rastreado como CVE-2024-23222, es un error de confusión de tipos que podría ser aprovechado por un actor de amenazas para lograr la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. El gigante tecnológico dijo que el problema se solucionó con controles mejorados.
Vulnerabilidades de confusión de tiposen general, podría utilizarse como arma para realizar un acceso a la memoria fuera de los límites o provocar un bloqueo y la ejecución de código arbitrario.
Apple, en un escueto aviso, reconoció que está «al tanto de un informe de que este problema puede haber sido explotado», pero no compartió ningún otro detalle sobre la naturaleza de los ataques o los actores de amenazas que aprovechan la deficiencia.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 17.3 y iPadOS 17.3 – iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores y iPad mini de quinta generación y después
- iOS 16.7.5 y iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación
- macOS Sonoma 14.3 – Macs con macOS Sonoma
- macOS Ventura 13.6.4 – Macs con macOS Ventura
- macOS Monterey 12.7.3 – Macs con macOS Monterey
- tvOS 17.3 – Apple TV HD y Apple TV 4K (todos los modelos)
- Safari 17.3 – Macs con macOS Monterey y macOS Ventura
El desarrollo marca la primera vulnerabilidad de día cero explotada activamente que Apple parchea este año. El año pasado, el fabricante del iPhone abordó 20 días cero que se han empleado en ataques del mundo real.
Además, Apple también ha respaldado las correcciones para CVE-2023-42916 y CVE-2023-42917 (parches para los cuales se lanzaron en diciembre de 2023) a dispositivos más antiguos.
- iOS 15.8.1 y iPadOS 15.8.1 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
La divulgación también sigue a un informe de que las autoridades chinas reveló que han utilizado vulnerabilidades previamente conocidas en la funcionalidad AirDrop de Apple para ayudar a las fuerzas del orden a identificar remitentes de contenido inapropiado, utilizando una técnica basada en tablas de arcoíris.