Apple el jueves lanzó actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS y el navegador web Safari para abordar tres fallas de cero días recién descubiertas que se están utilizando activamente en la naturaleza. Estas tres vulnerabilidades se enumeran a continuación:
CVE-2023-32409: un error de WebKit que podría ser explotado por un actor malicioso para salir del sandbox de contenido web. Se solucionó con mejoras en los controles de límites.
CVE-2023-28204: un problema de lectura fuera de los límites en WebKit que podría ser abusado para divulgar información sensible al procesar contenido web. Se corrigió con mejoras en la validación de entrada.
CVE-2023-32373: un error de uso después de liberar en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web maliciosamente creado. Se abordó con mejoras en la gestión de la memoria.
Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional fueron acreditados por informar sobre CVE-2023-32409, mientras que un investigador anónimo fue reconocido por informar sobre los otros dos problemas. Notablemente, tanto CVE-2023-28204 como CVE-2023-32373 se solucionaron como parte de las actualizaciones de respuesta rápida de seguridad: iOS 16.4.1 (a) y iPadOS 16.4.1 (a), lanzadas al comienzo de este mes.
Actualmente, no hay detalles técnicos adicionales sobre las debilidades, la naturaleza de los ataques o la identidad de los actores amenazantes que pueden estar explotándolas. Sin embargo, estas debilidades han sido históricamente utilizadas como parte de intrusiones altamente dirigidas para implementar espionaje en los dispositivos de disidentes, periodistas y activistas de derechos humanos, entre otros.
Las últimas actualizaciones están disponibles para los siguientes dispositivos:
iOS 16.5 y iPadOS 16.5: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air 3a generación y posteriores, iPad 5a generación y posteriores y iPad mini 5a generación y posteriores
iOS 15.7.6 y iPadOS 15.7.6: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1a generación), iPad Air 2, iPad mini (4a generación) y iPod touch (7a generación)
macOS Ventura 13.4: macOS Ventura
tvOS 16.5: Apple TV 4K (todos los modelos) y Apple TV HD
watchOS 9.5: Apple Watch Series 4 y posteriores
Safari 16.5: macOS Big Sur y macOS Monterey
Desde principios de 2023, Apple ha abordado un total de seis cero días activamente explotados. A principios de febrero, la compañía parcheó una vulnerabilidad de WebKit (CVE-2023-23529) que podría resultar en ejecución de código remoto. Luego, el mes pasado, emitió correcciones para un par de debilidades (CVE-2023-28205 y CVE-2023-28206) que permitían la ejecución de código con privilegios elevados. Lecigne y Ó Cearbhaill fueron acreditados por informar sobre los problemas de seguridad.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.