Bl0ckch41nnewsApple y Microsoft publican actualizaciones para dos 0-day explotados activamente ~ Segu-Info

Apple lanzó actualizaciones de seguridad de emergencia para corregir una nueva
falla de seguridad Zero-Day explotada en ataques dirigidos a usuarios de
iPhone y iPad.

«Apple está al tanto de un informe de que este problema puede haber sido
explotado activamente en versiones de iOS anteriores a iOS 16.6»,
dijo la compañía en un aviso emitido el miércoles.

El nuevo Zero-Day (CVE-2023-42824) es causado por una debilidad descubierta en
el kernel XNU que permite a atacantes locales escalar privilegios en iPhones y
iPads sin parches. Si bien Apple dijo que abordó el problema de seguridad en
iOS 17.0.3 y iPadOS 17.0.3 con comprobaciones mejoradas, aún no ha revelado
quién encontró e informó la falla.

La lista de dispositivos afectados es bastante extensa e incluye:

• iPhone XS y posterior
• iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de
  10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores,
  iPad Air de tercera generación y posteriores, iPad de sexta generación y
  posteriores y iPad mini de quinta generación y posteriores

Apple también abordó un Zero-Day rastreado como
CVE-2023-5217
y causado por una debilidad de
desbordamiento del búfer en la codificación VP8
de la biblioteca de códecs de video de código abierto libvpx, que
podría permitir la ejecución de código arbitrario luego de una explotación
exitosa.

El error libvpx fue parcheado previamente por Google en el navegador
web Chrome y por Microsoft en sus productos Edge, Teams y Skype.

CVE-2023-5217 fue descubierto por el investigador de seguridad Clément
Lecigne, que forma parte del Grupo de análisis de amenazas (TAG) de Google, un
equipo de expertos en seguridad conocido por encontrar a menudo abusos de
0-Day en ataques de software espía dirigidos respaldados por el gobierno y
dirigidos a personas de alto riesgo.

Microsoft también ha lanzado actualizaciones de seguridad para sus productos Edge, Teams y Skype con el objetivo de parchear dos vulnerabilidades 0-day que afectan a bibliotecas de código abierto utilizadas por los tres productos señalados.

En concreto, los fallos de seguridad son los registrados como CVE-2023-4863, (CVSSv3 de 8.8), el cual se produce debido a una debilidad de desbordamiento de búfer en la biblioteca de códigos WebP (libwebp), y cuyo aprovechamiento podría derivar en la ejecución de código arbitrario.

Asimismo, la vulnerabilidad CVE-2023-5217 en Edge, (CVSSv3 de 8.8), que también se produce por una debilidad de desbordamiento de búfer en la codificación VP8 de la biblioteca de códecs de video libvpx, y su aprovechamiento por parte de actores maliciosos podría provocar fallas en la aplicación o permitir la ejecución de código arbitrario.

Ambas vulnerabilidades fueron catalogadas como explotadas activamente, por este motivo la compañía recomienda aplicar las correspondientes actualizaciones para prevenir una posible afectación.

17 Zero-Days para Apple explotados en ataques solucionados este año

CVE-2023-42824 es la decimoséptima vulnerabilidad de día cero explotada en
ataques que Apple ha solucionado desde principios de año.

Apple también corrigió recientemente otros tres 0-Day (CVE-2023-41991, CVE-2023-41992, y CVE-2023-41993) informados por investigadores de Citizen Lab y Google TAG y explotados en
ataques de software espía para instalar el software espía Predator de Cytrox.

Citizen Lab reveló otros
dos ataques de día cero
(CVE-2023-41061 y CVE-2023-41064), corregidos por Apple el mes pasado,
utilizados como parte de una cadena de exploits de clic cero
(denominada
BLASTPASS) para infectar iPhones completamente parcheados con el software espía
Pegasus.

Desde enero de 2023, Apple ha abordado un total de 17 ataques de día cero
dirigidos a iPhones y Mac, entre ellos:

La versión de hoy de iOS 17.0.3 también soluciona un problema conocido que
provoca que los iPhone con iOS 17.0.2 e inferiores se sobrecalienten.

Fuente:
BC