En su más reciente actualización, Apple lanzó parches de seguridad el lunes, dirigidos a iOS, iPadOS, macOS, tvOS, watchOS y su navegador Safari, para abordar varias vulnerabilidades y corregir problemas descubiertos recientemente, incluyendo dos días cero que afectan a dispositivos más antiguos.
Las actualizaciones comprenden soluciones para 12 vulnerabilidades de seguridad en iOS y iPadOS, abarcando áreas como AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing y WebKit. En cuanto a macOS Sonoma 14.2, se han corregido 39 fallos, incluyendo seis errores que impactan la biblioteca ncurses.
Destacando entre las fallas se encuentra CVE-2023-45866, un problema de seguridad crítico que podría permitir a un atacante en una posición privilegiada de la red inyectar pulsaciones de teclas falsificando un teclado. Este riesgo, revelado por el investigador de seguridad de SkySafe, Marc Newlin, la semana pasada, ha sido abordado en iOS 17.2, iPadOS 17.2 y macOS Sonoma 14.2 mediante mejoras en las comprobaciones, según anunció el fabricante del iPhone. Esta respuesta veloz subraya el compromiso continuo de Apple con la seguridad y la protección de sus usuarios frente a amenazas potenciales.
En el último movimiento de seguridad, Apple también dio a conocer Safari 17.2, una versión que aborda dos vulnerabilidades en WebKit (CVE-2023-42890 y CVE-2023-42883). Estas fallas presentaban el riesgo de desencadenar la ejecución de código arbitrario y una condición de denegación de servicio (DoS). La actualización está disponible para Mac que operan con macOS Monterey y macOS Ventura, reforzando así la protección de los usuarios contra posibles amenazas y garantizando una experiencia de navegación más segura.
En la última actualización, iOS 17.2 y iPadOS 17.2 no solo abordan un error en Siri que podría exponer datos confidenciales en casos de acceso físico, sino que también incorporan una nueva capa de seguridad denominada “Verificación de clave de contacto”. Esta mejora asegura la privacidad de las conversaciones en iMessage, permitiendo a los usuarios verificar con quién están comunicándose.
La función de “iMessage Contact Key Verification” avanza en la implementación de Key Transparency al permitir que los propios dispositivos de los usuarios verifiquen las pruebas de coherencia y aseguren la consistencia del sistema KT en todos los dispositivos asociados a una cuenta. En términos más simples, esto protege contra compromisos del directorio clave y del propio servicio de transparencia, además de detectar discrepancias presentadas por ambos servicios.
En paralelo a estas mejoras, Apple también lanzó iOS 16.7.3 y iPadOS 16.7.3 para abordar ocho problemas de seguridad, incluyendo dos relacionados con WebKit (CVE-2023-42916 y CVE-2023-42917). Estos problemas, revelados por Redmond, se informó que estaban siendo explotados activamente en la naturaleza a principios de este mes.
Ambas vulnerabilidades también han sido solucionadas en tvOS 17.2 y watchOS 10.2. Aunque aún no hay detalles adicionales disponibles sobre la naturaleza específica de la explotación ni sobre los actores de amenazas que podrían estar utilizando estas vulnerabilidades. La rápida respuesta de Apple destaca su enfoque proactivo en la seguridad y la protección de sus usuarios contra posibles amenazas.