Apple ha lanzado otra ronda de parches de seguridad para abordar
tres fallas de Zero-Days explotadas activamente que afectan a iOS, iPadOS,
macOS, watchOS y Safari, elevando a 16 el total de errores de día cero descubiertos en su software
este año.
A esto le siguieron correcciones de envío de Google y Mozilla para contener una falla de seguridad (CVE-2023-4863) que podría resultar en la ejecución de código arbitrario al procesar una imagen especialmente diseñada.
La lista de vulnerabilidades de seguridad es la siguiente:
-
CVE-2023-41991: un problema de validación de certificados en el Security
framework que podría permitir que una aplicación maliciosa omita la
validación de firmas. -
CVE-2023-41992: una falla de seguridad en el Kernel que podría permitir a un
atacante local elevar sus privilegios. -
CVE-2023-41993: una falla de WebKit que podría provocar la ejecución de
código arbitrario al procesar contenido web especialmente diseñado.
Apple no proporcionó detalles adicionales, salvo un reconocimiento de que
«el problema puede haber sido explotado activamente en versiones de iOS
anteriores a iOS 16.7».
Las actualizaciones están disponibles para los siguientes dispositivos y
sistemas operativos:
-
iOS 16.7 y iPadOS 16.7: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª
generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini
de 5.ª generación y posteriores -
iOS 17.0.1 y iPadOS 17.0.1: iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación
y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera
generación y posteriores, iPad Air de tercera generación y posteriores, iPad
de sexta generación generación y posteriores, iPad mini de 5.ª generación y
posteriores -
MacOS Monterey 12.7
y
MacOS Ventura 13.6 -
WatchOS 9.6.3
y
WatchOS 10.0.1: Apple Watch Series 4 y posteriores -
Safari 16.6.1
– macOS Big Sur y macOS Monterey
A Bill Marczak, del Citizen Lab de la Escuela Munk de la Universidad de
Toronto, y a Maddie Stone, del Grupo de Análisis de Amenazas (TAG) de Google,
se les atribuye el mérito de descubrir e informar sobre las deficiencias, lo
que indica que es posible que se haya abusado de ellos como parte de un
software espía altamente dirigido a civiles, miembros de la sociedad que
corren un mayor riesgo de sufrir amenazas cibernéticas.
La divulgación se produce dos semanas después de que
Apple resolvió otros dos días cero
explotados activamente (CVE-2023-41061 y CVE-2023-41064) que se habían
encadenado como parte de una cadena de exploits de iMessage de Zero-Clic
llamada
BLASTPASS
para implementar un software espía mercenario conocido. como Pegaso.
Hay evidencia que sugiere que tanto CVE-2023-41064, una vulnerabilidad de
desbordamiento de búfer en el marco de análisis de imágenes Image I/O de
Apple, como CVE-2023-4863, un desbordamiento de búfer de montón en la
biblioteca de imágenes WebP (libwebp), podrían referirse a el mismo error,
según el fundador de Isosceles y exinvestigador del Zero Project de Google,
Ben Hawkes.
Rezilion reveló
que la biblioteca libwebp se utiliza en varios sistemas operativos,
paquetes de software, aplicaciones Linux e imágenes de contenedores,
destacando que el alcance de la vulnerabilidad es mucho más amplio de lo que
se suponía inicialmente.
«La buena noticia es que el error parece haber sido parcheado correctamente
en libwebp, y ese parche está llegando a donde debería ir», dijo Hawkes.
«La mala noticia es que libwebp se utiliza en muchos lugares y podría pasar
algún tiempo hasta que el parche alcance la saturación».
Fuente:
THN
Los comentarios están cerrados.