Apple ha lanzado actualizaciones de software para iOS, iPadOS, macOS y el navegador web Safari para abordar dos fallas de seguridad que, según dijo, han sido objeto de explotación activa en versiones anteriores de su software.
Las vulnerabilidades, que residen en el motor del navegador web WebKit, se describen a continuación:
- CVE-2023-42916: un problema de lectura fuera de los límites que podría aprovecharse para filtrar información confidencial al procesar contenido web.
- CVE-2023-42917 – Un error de corrupción de memoria que podía provocar la ejecución de código arbitrario al procesar contenido web.
Apple dijo que está al tanto de los informes que explotan las deficiencias “contra las versiones de iOS anteriores a iOS 16.7.1”, que se lanzó el 10 de octubre de 2023. A Clément Lecigna, del Grupo de Análisis de Amenazas (TAG) de Google, se le atribuye el descubrimiento y la notificación de los dos defectos.
El fabricante del iPhone no proporcionó información adicional sobre la explotación en curso, pero los zero-days en iOS se han utilizado previamente para entregar software espía mercenario dirigido a personas de alto riesgo, como activistas, disidentes, periodistas y políticos.
Vale la pena señalar aquí que todos los navegadores web de terceros que están disponibles para iOS y iPadOS, incluidos Google Chrome, Mozilla Firefox y Microsoft Edge, y otros, funcionan con el motor de renderizado WebKit debido a las restricciones impuestas por Apple, lo que lo convierte en una superficie de ataque lucrativa y amplia.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 17.1.2 y iPadOS 17.1.2: iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de 2.ª generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 6.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- macOS Sonoma 14.1.2 – Macs con macOS Sonoma
- Safari 17.1.2 – Mac con macOS Monterey y macOS Ventura
Con las últimas correcciones de seguridad, Apple ha remediado hasta 19 días cero explotados activamente desde principios de 2023. También se produce días después de que Google enviara correcciones para una falla de alta gravedad en Chrome (CVE-2023-6345) que también ha sido objeto de ataques en el mundo real, lo que lo convierte en el séptimo día cero en ser parcheado por la compañía este año.
