En respuesta a múltiples vulnerabilidades de seguridad críticas, Apple lanzó una serie de parches de seguridad para sus sistemas operativos, incluyendo iOS, iPadOS, macOS, tvOS, watchOS y el navegador Safari. Las actualizaciones abordan no solo 12 vulnerabilidades en iOS y iPadOS, sino también 39 deficiencias en macOS Sonoma 14.2, con seis de ellas afectando la biblioteca ncurses.
Destacando entre las correcciones se encuentra la solución para CVE-2023-45866, una vulnerabilidad crítica en Bluetooth que permitiría a un atacante inyectar pulsaciones de teclas mediante la suplantación de un teclado. Este problema, revelado por el investigador de seguridad Marc Newlin de SkySafe, ha sido abordado en iOS 17.2, iPadOS 17.2 y macOS Sonoma 14.2 con mejoras en las comprobaciones de seguridad.
Además, la actualización de Safari 17.2 incluye correcciones para dos fallas en WebKit, CVE-2023-42890 y CVE-2023-42883, que podrían resultar en la ejecución de código arbitrario y una condición de denegación de servicio (DoS). Esta actualización está disponible para sistemas Mac con macOS Monterey y macOS Ventura.
iOS 17.2 y iPadOS 17.2 no solo solucionan un error en Siri que permitía a un adversario obtener datos confidenciales con acceso físico, sino que también introducen una mejora importante en la seguridad. Se trata de ” iMessage Contact Key Verification “, que garantiza la privacidad de las conversaciones al permitir a los usuarios verificar los contactos con los que se están comunicando. Estas medidas avanzan en la implementación de transparencia de claves para proteger contra compromisos de directorios clave y servicios de transparencia.
En adición, Apple ha lanzado iOS 16.7.3 y iPadOS 16.7.3 para abordar ocho problemas de seguridad, incluyendo dos relacionados con WebKit (CVE-2023-42916 y CVE-2023-42917), que fueron identificados como explotados activamente en la naturaleza a principios de este mes. Ambas vulnerabilidades también han sido parcheadas en tvOS 17.2 y watchOS 10.2.
Hasta el momento, no se han proporcionado detalles adicionales sobre la naturaleza de la explotación ni los actores de amenazas involucrados. Se insta a todos los usuarios a actualizar sus dispositivos de manera inmediata para garantizar la máxima seguridad.
