Apple lanzó el lunes actualizaciones de seguridad para iOS, iPad OS, Mac OSy Safari para abordar una falla de día cero que, según dijo, se ha explotado activamente en la naturaleza.
rastreado como CVE-2023-23529el problema se relaciona con un error de confusión de tipos en el motor del navegador WebKit que podría activarse al procesar contenido web creado con fines malintencionados, lo que culmina en la ejecución de código arbitrario.
El fabricante del iPhone dijo que el error se solucionó con controles mejorados y agregó que «está al tanto de un informe de que este problema puede haber sido explotado activamente». A un investigador anónimo se le atribuye haber informado de la falla.
No está claro de inmediato cómo se explota la vulnerabilidad en los ataques del mundo real, pero es la segunda falla de confusión de tipos de la que se abusa activamente en WebKit que Apple corrige después de CVE-2022-42856 en otros tantos meses, que se cerró en diciembre. 2022.
Las fallas de WebKit también son notables por el hecho de que afectan a todos los navegadores web de terceros que están disponibles para iOS y iPadOS debido a las restricciones de Apple que requieren que los proveedores de navegadores utilicen el mismo marco de renderizado.
La empresa también abordó un problema de uso posterior a la liberación en el Kernel (CVE-2023-23514) que podría permitir que una aplicación no autorizada ejecute código arbitrario con los privilegios más altos.
Acreditados por informar el problema están Xinru Chi de Pangu Lab y Ned Williamson de Google Project Zero. Apple dijo que resolvió la vulnerabilidad con una gestión de memoria mejorada.
Por separado, la última actualización de macOS también corrige un defecto de privacidad en los accesos directos que una aplicación con malware puede aprovechar para «observar datos de usuario desprotegidos». El problema, señaló Apple, se solucionó mejorando el manejo de los archivos temporales.
Se recomienda a los usuarios que actualicen a iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 y Safari 16.3.1 para mitigar los riesgos potenciales. Las actualizaciones están disponibles para los siguientes dispositivos:
- iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- Mac con macOS Ventura, macOS Big Sur y macOS Monterey
Apple remedió un total de 10 días cero que abarcaron su software en 2022, nueve de los cuales fueron revelados como explotados activamente por actores de amenazas. Cuatro de esos defectos se descubrieron en WebKit.