Apple va llançar actualitzacions de seguretat per a iOS, iPadOS, macOS, tvOS, watchOS i el navegador web Safari per abordar tres vulnerabilitats zero-day descobrides recentment que s’estan utilitzant activament al món real. Aquestes tres vulnerabilitats es llisten a continuació:
CVE-2023-32409 – Un error de WebKit que podria ser explotat per un actor maliciós per sortir del sandbox de contingut web. Es va arreglar amb comprovacions de límits millorades.
CVE-2023-28204 – Un problema de lectura fora de límits a WebKit que podria ser abusat per revelar informació sensible quan es processi contingut web. Es va remeiar amb una validació d’entrada millorada.
CVE-2023-32373 – Un error d’ús després de lliure a WebKit que podria conduir a una execució de codi arbitrari quan es processi contingut web maliciosament dissenyat. Va ser abordat amb una millor gestió de memòria.
Clément Lecigne del Grup d’Anàlisi de Amenaces (TAG) de Google i Donncha Ó Cearbhaill de la Seguretat Lab d’Amnistia Internacional van ser els responsables de reportar el CVE-2023-32409, mentre que un investigador anònim va ser reconegut per reportar els altres dos problemes. Notablement, tant el CVE-2023-28204 com el CVE-2023-32373 es van arreglar com a part de les actualitzacions de Resposta Ràpida de Seguretat – iOS 16.4.1 (a) i iPadOS 16.4.1 (a) – llançades al començament d’aquest mes.
Actualment, no hi ha detalls tècnics addicionals sobre les debilitats, la naturalesa dels atacs o la identitat dels actors de la amenaça que podrien estar-los explotant. No obstant això, aquestes debilitats s’han utilitzat històricament com a part d’intrusions altament dirigides per desplegar espionatge als dispositius de dissidents, periodistes i activistes dels drets humans, entre d’altres.
Les últimes actualitzacions estan disponibles per als següents dispositius:
iOS 16.5 i iPadOS 16.5 – iPhone 8 i posteriors, iPad Pro (tots els models), iPad Air 3a generació i posteriors, iPad 5a generació i posteriors, i iPad mini 5a generació i posteriors
iOS 15.7.6 i iPadOS 15.7.6 – iPhone 6s (tots els models), iPhone 7 (tots els models), iPhone SE (1a generació), iPad Air 2, iPad mini (4a generació) i iPod touch (7a generació)
macOS Ventura 13.4 – macOS Ventura
tvOS 16.5 – Apple TV 4K (tots els models) i Apple TV HD
watchOS 9.5 – Apple Watch Series 4 i posteriors
Safari 16.5 – macOS Big Sur i macOS Monterey
Des del començament de 2023, Apple ha abordat un total de sis vulnerabilitats zero-day explotades activament. A principis de febrer, la companyia va arreglar una vulnerabilitat de WebKit (CVE-2023-23529) que podria resultar en una execució de codi remot. Després, el mes passat, va emetre correccions per a un parell de debilitats (CVE-2023-28205 i CVE-2023-28206) que permetien l’execució de codi amb privilegis elevats. Lecigne i Ó Cearbhaill van ser els responsables de reportar els problemes de seguretat.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.