Apple lanzó el viernes una importante actualización de seguridad de iOS para corregir un par de vulnerabilidades de día cero que ya se están explotando en la naturaleza.
Las actualizaciones más recientes de iOS 16.4.1 y iPadOS 16.4.1 cubren las fallas del software de ejecución de código en IOSurfaceAccelerator y WebKit, lo que sugiere que se detectó una cadena compleja de vulnerabilidades en los dispositivos iPhone más recientes.
“Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”, dice en un aviso básico que acredita a Google y Amnistía Internacional por informar el problema.
El aviso documenta dos problemas separados, CVE-2023-28205 y CVE-2023-28206 , que exponen a los iPhone y iPad a ataques de ejecución de código arbitrario.
Apple describió la falla de IOSurfaceAccelerator, como un problema de escritura fuera de los límites que se solucionó con una validación de entrada mejorada.
El error de WebKit, que ya se ha explotado a través del contenido web para ejecutar código arbitrario con privilegios de kernel, se ha solucionado con una gestión de memoria mejorada.
La compañía no dijo si los exploits recién descubiertos son capaces de eludir la función del modo de bloqueo que Apple envió para disuadir este tipo de ataques.
El parche de iOS viene junto con la noticia de Google de que los proveedores comerciales de spyware están quemando días cero para infectar dispositivos móviles con malware de vigilancia.
En una de las dos campañas descritas por Google esta semana, un ataque comenzó con el envío de un enlace al usuario objetivo a través de SMS. Al hacer clic, el enlace llevaba a la víctima a sitios web maliciosos que ofrecían vulnerabilidades de Android o iOS, según el dispositivo objetivo. Una vez que se entregaron los exploits, las víctimas fueron redirigidas a sitios web legítimos, probablemente en un esfuerzo por evitar levantar sospechas.
La cadena de exploits de iOS también golpeó una vulnerabilidad de WebKit (CVE-2022-42856), que Apple parchó en iPhones en diciembre de 2022. Los ataques también involucraron una técnica de omisión de autenticación de puntero (PAC) y un exploit para CVE-2021-30900, un escape de sandbox y una vulnerabilidad de escalada de privilegios que Apple parchó en iOS en 2021.
En lo que va del año, ha habido al menos 24 vulnerabilidades de día cero documentadas explotadas en la naturaleza antes del descubrimiento.
