En el transcurso del lunes, Apple lanzó actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari con el fin de abordar una vulnerabilidad de día cero que ha sido activamente explotada en el entorno digital.
La falla en cuestión, identificada como CVE-2024-23222, se trata de un error de confusión de tipos en el motor del navegador WebKit, susceptible de ser aprovechado por actores de amenazas para lograr la ejecución de código arbitrario al procesar contenido web creado con intenciones maliciosas. La compañía tecnológica afirmó que la problemática se ha solucionado mediante mejoras en los controles de seguridad.
En términos generales, las vulnerabilidades de confusión de tipos pueden utilizarse como herramienta para acceder a la memoria fuera de los límites, provocar bloqueos y facilitar la ejecución de código arbitrario.
En un comunicado breve, Apple reconoció estar ‘al tanto de un informe de que este problema puede haber sido explotado’, sin proporcionar más detalles sobre la naturaleza de los ataques o los actores de amenazas que se benefician de esta vulnerabilidad.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 17.3 y iPadOS 17.3: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores, y iPad mini de 5.ª generación y posteriores.
- iOS 16.7.5 y iPadOS 16.7.5: iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación.
- macOS Sonoma 14.3: Mac que ejecutan macOS Sonoma.
- macOS Ventura 13.6.4: Mac que ejecutan macOS Ventura.
- macOS Monterey 12.7.3: Mac que ejecutan macOS Monterey.
- tvOS 17.3: Apple TV HD y Apple TV 4K (todos los modelos).
- Safari 17.3: Mac con macOS Monterey y macOS Ventura.
Este desarrollo marca la primera vulnerabilidad de día cero que Apple parchea en lo que va del año. En el transcurso del año pasado, el fabricante del iPhone abordó un total de 20 vulnerabilidades de día cero que fueron explotadas en ataques del mundo real.
Asimismo, Apple ha respaldado las correcciones para CVE-2023-42916 y CVE-2023-42917 (parches que inicialmente se lanzaron en diciembre de 2023) para dispositivos más antiguos.
- iOS 15.8.1 y iPadOS 15.8.1: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación).
Esta divulgación también surge después de un informe que indica que las autoridades chinas revelaron haber utilizado vulnerabilidades previamente conocidas en la función AirDrop de Apple para ayudar en la identificación de remitentes de contenido inapropiado. Este método empleó una técnica basada en tablas de arcoíris.