Apple lanzó el jueves actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS y el navegador web Safari para abordar tres nuevas fallas de día cero que, según dijo, se están explotando activamente en la naturaleza.
Las tres deficiencias de seguridad se enumeran a continuación:
CVE-2023-32409 : una falla de WebKit que podría ser aprovechada por un actor malicioso para salir del entorno limitado de contenido web. Se solucionó con controles de límites mejorados.
CVE-2023-28204 : un problema de lectura fuera de los límites en WebKit que podría abusarse para revelar información confidencial al procesar contenido web. Se solucionó mejorando la validación de entrada.
CVE-2023-32373 : un error gratuito de uso posterior en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. Se solucionó mejorando la gestión de la memoria.
El fabricante del iPhone le dio crédito a Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google y a Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional por informar CVE-2023-32409. Un investigador anónimo ha sido reconocido por informar los otros dos problemas.
Vale la pena señalar que tanto CVE-2023-28204 como CVE-2023-32373 se parchearon como parte de las actualizaciones de Rapid Security Response : iOS 16.4.1 (a) y iPadOS 16.4.1 (a), que la compañía lanzó al comienzo de la mes.
Actualmente no hay detalles técnicos adicionales sobre las fallas, la naturaleza de los ataques o la identidad de los actores de amenazas que pueden estar explotándolos.
Dicho esto, tales debilidades se han aprovechado históricamente como parte de intrusiones altamente dirigidas para desplegar spyware mercenario en los dispositivos de disidentes, periodistas y activistas de derechos humanos, entre otros.
Las últimas actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
iOS 16.5 y iPadOS 16.5 : iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
iOS 15.7.6 y iPadOS 15.7.6 : iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
macOS Ventura 13.4 – macOS Ventura
tvOS 16.5 – Apple TV 4K (todos los modelos) y Apple TV HD
watchOS 9.5 – Apple Watch Serie 4 y posterior
Safari 16.5 : macOS Big Sur y macOS Monterey
Hasta ahora, Apple ha reparado un total de seis días cero explotados activamente desde el comienzo de 2023. A principios de febrero, la compañía solucionó una falla de WebKit ( CVE-2023-23529 ) que podría conducir a la ejecución remota de código.
Luego, el mes pasado, envió correcciones para un par de vulnerabilidades ( CVE-2023-28205 y CVE-2023-28206 ) que permitían la ejecución de código con privilegios elevados. A Lecigne y Ó Cearbhaill se les atribuyó el informe de los defectos de seguridad.
fuente: thehackernews.