Apple ha lanzado otra ronda de parches de seguridad para abordar tres fallas de zero-day explotadas activamente que afectan a iOS, iPadOS, macOS, watchOS y Safari, llevando el recuento total de errores de día cero descubiertos en su software este año a 16.
La lista de vulnerabilidades de seguridad es la siguiente:
- CVE-2023-41991: un problema de validación de certificados en el marco de seguridad que podría permitir que una aplicación malintencionada omitiera la validación de firmas.
- CVE-2023-41992: un fallo de seguridad en el kernel que podría permitir a un atacante local elevar sus privilegios.
- CVE-2023-41993: error de WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
Apple no proporcionó detalles adicionales, salvo un reconocimiento de que el “problema puede haber sido explotado activamente contra versiones de iOS anteriores a iOS 16.7”.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 16.7 y iPadOS 16.7: iPhone 8 y posterior, iPad Pro (todos los modelos), iPad Air 3.ª generación y posterior, iPad 5.ª generación y posterior, y iPad mini 5.ª generación y posterior
- iOS 17.0.1 y iPadOS 17.0.1 – iPhone XS y posterior, iPad Pro de 12,9 pulgadas de 2.ª generación y posterior, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de 1.ª generación y posterior, iPad Air de 3.ª generación y posterior, iPad 6.ª generación y posteriores, iPad mini de 5.ª generación y posteriores
- macOS Monterey 12.7 y macOS Ventura 13.6
- watchOS 9.6.3 y watchOS 10.0.1 – Apple Watch Series 4 y posterior
- Safari 16.6.1 – macOS Big Sur y macOS Monterey
Acreditados con el descubrimiento y la denuncia de las deficiencias están Bill Marczak del Citizen Lab de la Escuela Munk de la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas (TAG) de Google, lo que indica que pueden haber sido abusados como parte de un spyware altamente dirigido a miembros de la sociedad civil que corren un mayor riesgo de amenazas cibernéticas.
La revelación se produce dos semanas después de que Apple resolviera otros dos días cero explotados activamente (CVE-2023-41061 y CVE-2023-41064) que han sido encadenados como parte de una cadena de exploits de iMessage de zero-click llamada BLASTPASS para implementar un spyware mercenario conocido como Pegasus.
Esto fue seguido por correcciones de envío de Google y Mozilla para contener una falla de seguridad (CVE-2023-4863) que podría provocar la ejecución de código arbitrario al procesar una imagen especialmente diseñada.
Hay evidencia que sugiere que tanto CVE-2023-41064, una vulnerabilidad de desbordamiento de búfer en el marco de análisis de imágenes de E / S de Apple, como CVE-2023-4863, un heap buffer overflow en la biblioteca de imágenes WebP (libwebp), podrían referirse al mismo error, según el fundador de Isósceles y ex investigador de Google Project Zero, Ben Hawkes.
Rezilion, en un análisis publicado el jueves, reveló que la biblioteca libwebp se utiliza en varios sistemas operativos, paquetes de software, aplicaciones Linux e imágenes de contenedores, destacando que el alcance de la vulnerabilidad es mucho más amplio de lo que se suponía inicialmente.
“La buena noticia es que el error parece estar parcheado correctamente en el libwebp aguas arriba, y ese parche está llegando a donde debería ir”, dijo Hawkes. “La mala noticia es que libwebp se usa en muchos lugares, y podría pasar un tiempo hasta que el parche alcance la saturación”.
