WebKit bajo ataque: Apple emite parches de emergencia para 3 nuevas vulnerabilidades de día cero


19 de mayo de 2023Ravie LakshmanánSeguridad de día cero/punto final

Vulnerabilidades de día cero

manzana el jueves implementó actualizaciones de seguridad a iOS, iPadOS, macOS, tvOS, watchOS y el navegador web Safari para abordar tres nuevas fallas de día cero que, según dijo, se están explotando activamente en la naturaleza.

Las tres deficiencias de seguridad se enumeran a continuación:

  • CVE-2023-32409 – Una falla de WebKit que podría ser aprovechada por un actor malicioso para salir del entorno limitado de contenido web. Se solucionó con controles de límites mejorados.
  • CVE-2023-28204 – Un problema de lectura fuera de los límites en WebKit que podría abusarse para revelar información confidencial al procesar contenido web. Se solucionó mejorando la validación de entrada.
  • CVE-2023-32373 – Un error de uso posterior gratuito en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. Se solucionó mejorando la gestión de la memoria.

El fabricante del iPhone le dio crédito a Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google y a Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional por informar CVE-2023-32409. Un investigador anónimo ha sido reconocido por informar los otros dos problemas.

Vale la pena señalar que tanto CVE-2023-28204 como CVE-2023-32373 se parchearon como parte de Actualizaciones de respuesta de seguridad rápida – iOS 16.4.1 (a) y iPadOS 16.4.1 (a) – la compañía lanzó a principios de mes.

Actualmente no hay detalles técnicos adicionales sobre las fallas, la naturaleza de los ataques o la identidad de los actores de amenazas que pueden estar explotándolos.

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

Dicho esto, tales debilidades se han aprovechado históricamente como parte de intrusiones altamente dirigidas para desplegar spyware mercenario en los dispositivos de disidentes, periodistas y activistas de derechos humanos, entre otros.

Las últimas actualizaciones están disponibles para los siguientes dispositivos:

  • iOS 16.5 y iPadOS 16.5 – iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
  • iOS 15.7.6 y iPadOS 15.7.6 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
  • macOS Ventura 13.4 -macOS Ventura
  • tvOS 16.5 – Apple TV 4K (todos los modelos) y Apple TV HD
  • relojOS 9.5 – Apple Watch Serie 4 y posteriores
  • Safari 16.5 – macOS Big Sur y macOS Monterey

Hasta ahora, Apple ha reparado un total de seis días cero explotados activamente desde el comienzo de 2023. A principios de febrero, la compañía solucionó una falla de WebKit (CVE-2023-23529) que podría conducir a la ejecución remota de código.

Luego, el mes pasado, envió correcciones para un par de vulnerabilidades (CVE-2023-28205 y CVE-2023-28206) que permitían la ejecución de código con privilegios elevados. A Lecigne y Ó Cearbhaill se les atribuyó el informe de los defectos de seguridad.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57