Apple lanzó dos actualizaciones de seguridad que corrigen vulnerabilidades 'zero-day' o de día cero explotadas y que comprometían a iPhones, computadores con la versión macOS Ventura y iPads.
Apple anunció actualizaciones de seguridad de emergencia para reparar dos fallas utilizadas por ciberdelincuentes para vulnerar iPhones, Macs e Ipads.
“Apple está al tanto de un reporte sobre que este problema pudo haber sido activamente explotado”, indicó la empresa según lo citó BleepingComputer, detallando que la lista de dispositivos es muy amplia e incluye los siguientes modelos:
– iPhone 8 en adelante.
– Todos los modelos de iPad Pro.
– iPad Air desde la tercera generación.
– iPad desde la quinta generación.
– iPad mini desde la quinta generación.
– Macs que funcionan con macOS Ventura
La primera de estas fallas de seguridad, registrada como CVE-2023-28206, permitía a los usuarios escribir fuera de los límites de IOSurfaceAccelerator, lo que podría provocar la corrupción de datos, el ‘crasheo’ de los dispositivos o ejecutar código de forma arbitraria.
Al ser explotada, esta falla permitía a los ciberdelincuentes ejecutar código malicioso con permisos ‘kernel’, es decir, del más alto nivel dentro del dispositivo.
La compañía comentó que esta actualización de seguridad se ha solucionado “mejorando la validación de entrada” y que está disponible para macOS Ventura. También lo está la que corrige el otro de estos errores ‘zero day’ -CVE-2023-28205- que afectaba a WebKit.
En este caso, el fabricante estadounidense explicó que “el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario” y que lo solucionaron mejorando la administración de la memoria.
Además de en macOS Ventura 13.3.1, estas dos vulnerabilidades ‘zero-day’ se han abordado en iOS 16.4.1, iPadOS 16.4.1 y Safari 16.4.1. De ese modo, entre los dispositivos afectados se encuentran los modelos de iPhone 8 y posteriores, todas las versiones de ipad Pro, iPad Air de 3ª generación y posteriores; y iPad y iPad Mini de 5ª generación y posteriores.
Las fallas fueron reportadas por Clément Lecigne del Grupo de Análisis de Amenazas de Google y por Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional, quienes descubrieron que éstas ya estaban siendo explotadas por ciberdelincuentes.
Ambas organizaciones, detalla el medio especializado, suelen alertar de fallas utilizadas por agentes de gobiernos para desplegar programas espías en dispositivos de políticos, periodistas, disidentes, y otros objetivos.
