Apple ha abordado tres nuevas vulnerabilidades explotadas en ataques activos
contra iPhones, Macs y iPads. «Apple es muy consciente de que este problema puede haber sido explotado
activamente»,
reveló la empresa en las advertencias de seguridad
que describen las fallas.
Todos los errores de seguridad se encuentran en el motor de navegador WebKit multiplataforma y se rastrean como CVE-2023-32409,
CVE-2023-28204 y CVE-2023-32373.
La primera vulnerabilidad es un escape de sandbox que permite a los
atacantes remotos escapar de los sandboxes de contenido web.
Los otros son una lectura más allá de los límites que puede ayudar a los
atacantes a obtener acceso a información confidencial y un problema de uso
posterior a la liberación que permite lograr la ejecución de código arbitrario
en dispositivos comprometidos.
Apple abordó los tres Zero-Day en macOS Ventura 13.4, iOS y iPadOS 16.5, tvOS
16.5, watchOS 9.5 y Safari 16.5 con controles de límite mejorados, validación
de entrada y administración de memoria.
La lista de dispositivos afectados es bastante extensa, ya que el error afecta
a los modelos más antiguos y más nuevos, e incluye:
-
iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª
generación), iPad Air 2, iPad mini (4.ª generación), iPod touch (7.ª
generación) y iPhone 8 y posteriores -
iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad
de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores - Mac con macOS Big Sur, Monterey y Ventura
- Apple Watch Serie 4 y posteriores
- Apple TV 4K (todos los modelos) y Apple TV HD
La compañía también reveló que CVE-2023-28204 y CVE-2023-32373 (informados por
investigadores anónimos) se abordaron por primera vez con
parches de respuesta de seguridad rápida (RSR)
para dispositivos iOS 16.4.1 y macOS 13.3.1 emitidos el 1 de mayo.
Seis Zero-Days parcheados desde principios de 2023
Si Apple dice que es consciente de que los tres días cero parcheados hoy están
bajo explotación, nadie ha compartido información sobre estos ataques.
Sin embargo, los avisos de hoy revelan que CVE-2023-32409 ha sido informado
por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Donncha Ó
Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional.
Las organizaciones que forman parte de los investigadores publican
regularmente detalles sobre campañas respaldadas por el estado que aprovechan
los errores iniciales para implementar spyware mercenario en los teléfonos
inteligentes y las computadoras de políticos, periodistas, disidentes y más.
En abril,
Apple planteó otros dos Zero-Days
(CVE-2023-28206 y CVE-2023-28205) parte de las cadenas de explotación en
estado de salvamento de las vulnerabilidades de día cero y día cero de
Android, iOS y Chrome, abusadas para implementar software espía comercial en
dispositivos objetivo de alto riesgo en todo el mundo.
En febrero,
Apple abordó otro Zero-Day de WebKit
(CVE-2023-23529) explotado en ataques para eludir la ejecución de código en
iPhones, iPads y Mac vulnerables.
Fuente:
BC
Los comentarios están cerrados.