Apple ha lanzado otra ronda de parches de seguridad para abordar tres fallas de día cero explotadas activamente que afectan a iOS, iPadOS, macOS, watchOS y Safari, elevando a 16 el total de errores de día cero descubiertos en su software este año.
La lista de vulnerabilidades de seguridad es la siguiente:
- CVE-2023-41991 – Un problema de validación de certificados en el marco de seguridad que podría permitir que una aplicación maliciosa omita la validación de firmas.
- CVE-2023-41992 – Un fallo de seguridad en el Kernel que podría permitir a un atacante local elevar sus privilegios.
- CVE-2023-41993 – Una falla de WebKit que podría resultar en la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
Apple no proporcionó detalles adicionales, salvo un reconocimiento de que «el problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.7».
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 16.7 y iPadOS 16.7 – iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
- iOS 17.0.1 y iPadOS 17.0.1 – iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores, iPad mini de quinta generación y más tarde
- macOS Monterey 12.7 y macOS Ventura 13.6
- watchOS 9.6.3 y watchOS 10.0.1 – Apple Watch Serie 4 y posteriores
- Safari 16.6.1
A Bill Marczak, del Citizen Lab de la Escuela Munk de la Universidad de Toronto, y a Maddie Stone, del Threat Analysis Group (TAG) de Google, se les atribuye el mérito de descubrir e informar sobre las deficiencias, lo que indica que es posible que se haya abusado de ellos como parte de ataques de software espía altamente dirigidos a sociedad civil que corren un mayor riesgo de sufrir amenazas cibernéticas.
La divulgación se produce dos semanas después de que Apple resolvió otros dos días cero explotados activamente (CVE-2023-41061 y CVE-2023-41064) que se habían encadenado como parte de una cadena de exploits de iMessage de cero clic llamada BLASTPASS para implementar un software espía mercenario conocido. como Pegaso.
A esto le siguieron correcciones de envío de Google y Mozilla para contener una falla de seguridad (CVE-2023-4863) que podría resultar en la ejecución de código arbitrario al procesar una imagen especialmente diseñada.
IA versus IA: aprovechar las defensas de la IA contra los riesgos impulsados por la IA
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Hay evidencia que sugiere que tanto CVE-2023-41064, una vulnerabilidad de desbordamiento de búfer en el marco de análisis de imágenes Image I/O de Apple, como CVE-2023-4863, un desbordamiento de búfer de montón en la biblioteca de imágenes WebP (libwebp), podrían referirse a el mismo error, según el fundador de Isosceles y ex investigador del Proyecto Cero de Google, Ben Hawkes.
Rezilion, en un análisis publicado el jueves, reveló que la biblioteca libwebp se utiliza en varios sistemas operativos, paquetes de software, aplicaciones Linux e imágenes de contenedores, destacando que el alcance de la vulnerabilidad es mucho más amplio de lo que se suponía inicialmente.
«La buena noticia es que el error parece haber sido parcheado correctamente en libwebp, y ese parche está llegando a donde debería ir», Hawkes dicho. «La mala noticia es que libwebp se utiliza en muchos lugares y podría pasar algún tiempo hasta que el parche alcance la saturación».