Apple publicó parches de seguridad para iOS y iPadOS, macOS y Safari que impiden a los atacantes a acceder a tu información.

Antes de finalizar el 2023, Apple lanzó una actualización de emergencia para resolver dos vulnerabilidades de día cero (zero-day) en los iPhone, iPad y Mac.

Las vulnerabilidades CVE-2023-42916 y CVE-2023-42917 fueron identificadas por Clément Lecigne, un investigador de seguridad perteneciente al Grupo de Análisis de Amenazas de Google (TAG). Ambas afectan al motor del navegador WebKit y facilitan la exposición de información confidencial al navegar en sitios web comprometidos. El atacante aprovecha una falla de corrupción de memoria para ejecutar código arbitrario.

Apple ha tomado conocimiento de un informe que sugiere que este problema podría haber sido aprovechado en versiones de iOS anteriores a la 16.7.1. En respuesta, Apple ha publicado actualizaciones que abordan la vulnerabilidad de lectura mediante una mejor validación de entrada y han implementado medidas para bloquear la falla de corrupción de memoria.

La actualización iOS 17.1.2 está disponible para iPhone XS y modelos superiores, mientras que iPadOS 17.1.2 se puede instalar en iPad Pro de 12,9 pulgadas (2ª generación en adelante), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1ª generación en adelante), iPad Air (3ª generación en adelante), iPad (6ª generación en adelante) y iPad Mini de 5ª generación y posteriores.

Las vulnerabilidades, localizadas en el motor del navegador web WebKit, se detallan a continuación:

  • CVE-2023-42916: Se trata de una vulnerabilidad de lectura fuera de límites que podría ser explotada para filtrar información confidencial durante el procesamiento de contenido web. Mas información aquí.
  • CVE-2023-42917: Este es un error de corrupción de memoria que podría resultar en la ejecución de código arbitrario al procesar contenido web. Mas información aquí.

Apple parcha más vulnerabilidades en los iPhone, iPad y macOS
En las últimas semanas, Apple ha lanzado actualizaciones cruciales para iOS y iPadOS, respondiendo a la detección de dos importantes vulnerabilidades zero-day. El 4 de octubre, el equipo de seguridad de la compañía abordó una falla en el Kernel XNU que permitía a los atacantes escalar privilegios en dispositivos iPhone y iPad. Las actualizaciones iOS 17.0.3 y iPadOS 17.0.3 incluyeron controles mejorados y una actualización de libvpx 1.13.1 para prevenir la ejecución de código a través de un desbordamiento de búfer.

Previamente, Google TAG y Citizen Lab informaron sobre bugs que aprovechaban un exploit en iMessage para ejecutar Pegasus, el software de espionaje del NSO Group. Tras recibir la alerta de la Universidad de Toronto, Apple inició una investigación y proporcionó actualizaciones para proteger los dispositivos de los usuarios.

En lo que va del año 2023, Apple ha abordado más de 20 vulnerabilidades zero-day, algunas de las cuales fueron utilizadas para espiar a periodistas y activistas de derechos humanos. Estas acciones demuestran el compromiso continuo de Apple con la seguridad de sus usuarios, trabajando activamente para contrarrestar amenazas y proteger la privacidad de los dispositivos.

Conclusiones:

  • Enfoque proactivo en seguridad: Apple demuestra un enfoque proactivo al abordar rápidamente las vulnerabilidades identificadas, lanzando actualizaciones de software para corregir los problemas de seguridad y mejorar la protección de los dispositivos.
  • Cooperación con la comunidad de seguridad: La colaboración con investigadores de seguridad externos, como Google TAG y Citizen Lab, destaca la importancia de la colaboración en la identificación y resolución de vulnerabilidades. La respuesta rápida de Apple a los informes de estos investigadores subraya una colaboración efectiva.
  • Atención a vulnerabilidades zero-day: La detección y solución de vulnerabilidades zero-day son cruciales para mantener la seguridad de los dispositivos. Apple ha abordado múltiples vulnerabilidades zero-day en un corto período, lo que destaca la importancia que la compañía otorga a la mitigación de amenazas avanzadas.
  • Compromiso continuo con la seguridad del usuario: La rápida implementación de actualizaciones de seguridad y la resolución de problemas críticos subrayan el compromiso continuo de Apple con la seguridad de sus usuarios. Este enfoque es esencial en un entorno digital donde las amenazas evolucionan constantemente.
  • Impacto en la privacidad: Las vulnerabilidades zero-day pueden tener un impacto significativo en la privacidad de los usuarios, especialmente en casos donde se utilizan para espiar a periodistas y activistas. La pronta acción de Apple para abordar estas amenazas contribuye a la protección de la privacidad de sus usuarios.

En general, las acciones de Apple refuerzan la importancia de mantener sistemas actualizados y resaltar la necesidad constante de vigilancia y respuesta proactiva en el ámbito de la ciberseguridad.

Recomendación:

Si eres usuario de alguno de estos dispositivos, es crucial que realices la actualización de inmediato para salvaguardar tu equipo de las vulnerabilidades CVE-2023-42916 y CVE-2023-42917. Para hacerlo, simplemente sigue estos pasos:

  1. Abre la aplicación de Ajustes en tu iPhone o iPad.
  2. Dirígete a la sección “General”.
  3. Dentro de “General”, selecciona “Actualización de Software”.
  4. Espera a recibir la notificación sobre la disponibilidad de la nueva versión.
  5. Descarga e instala la actualización tan pronto como esté disponible.

Este proceso garantizará que tu dispositivo cuente con las últimas medidas de seguridad, proporcionando una defensa efectiva contra posibles amenazas derivadas de estas vulnerabilidades.

fuente: hipertextual