Apple ha lanzado actualizaciones de seguridad para abordar varias fallas de seguridad, incluidas dos vulnerabilidades que, según dijo, han sido explotadas activamente en la naturaleza.
Las deficiencias se enumeran a continuación:
- CVE-2024-23225 – Un problema de corrupción de memoria en el Kernel que un atacante con capacidad arbitraria de lectura y escritura del kernel puede aprovechar para eludir las protecciones de la memoria del kernel.
- CVE-2024-23296 – Un problema de corrupción de memoria en el sistema operativo en tiempo real (RTOS) RTKit que un atacante con capacidad arbitraria de lectura y escritura del kernel puede aprovechar para eludir las protecciones de la memoria del kernel.
Actualmente no está claro cómo se están utilizando los defectos como armas en la naturaleza. Apple dijo que ambas vulnerabilidades se abordaron con una validación mejorada en iOS 17.4, iPadOS 17.4, iOS 16.7.6 y iPadOS 16.7.6.
Las actualizaciones están disponibles para los siguientes dispositivos:
- iOS 16.7.6 y iPadOS 16.7.6 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación
- iOS 17.4 y iPadOS 17.4 – iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores y iPad mini de quinta generación y después
Con el último desarrollo, Apple ha solucionado un total de tres días cero explotados activamente en su software desde principios de año. A finales de enero de 2024, solucionó un error de confusión de tipos en WebKit (CVE-2024-23222) que afectaba a iOS, iPadOS, macOS, tvOS y el navegador web Safari y que podía provocar la ejecución de código arbitrario.
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregado dos fallas en sus vulnerabilidades explotadas conocidas (KEV) catálogo, instando a las agencias federales a aplicar las actualizaciones necesarias antes del 26 de marzo de 2024.
Las vulnerabilidades se refieren a una falla de divulgación de información que afecta a los dispositivos Android Pixel (CVE-2023-21237) y una falla de inyección de comandos del sistema operativo en Sunhillo SureLine que podría resultar en la ejecución de código con privilegios de root (CVE-2021-36380).
Google, en un consultivo publicado en junio de 2023, reconoció que encontró indicios de que «CVE-2023-21237 puede estar bajo explotación limitada y dirigida». En cuanto a CVE-2021-36380, Fortinet reveló a fines del año pasado que una botnet Mirai llamada IZ1H9 estaba aprovechando la falla para acorralar dispositivos susceptibles en una botnet DDoS.