Apple corrige el primer error de día cero explotado activamente este año

Iniciado por AXCESS, Enero 27, 2025, 07:41:54 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 27, 2025, 07:41:54 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Apple ha publicado actualizaciones de seguridad para corregir la primera vulnerabilidad de día cero de este año, etiquetada como explotada activamente en ataques dirigidos a usuarios de iPhone.

La vulnerabilidad de día cero corregida hoy se identifica como CVE-2025-24085 [iOS/iPadOS, macOS, tvOS, watchOS, visionOS] y es una falla de seguridad de escalada de privilegios en el marco Core Media de Apple.

"Una aplicación maliciosa podría ser capaz de elevar privilegios. Apple está al tanto de un informe que indica que este problema podría haber sido explotado activamente contra versiones de iOS anteriores a iOS 17.2", dijo Apple hoy.

Según la documentación oficial de la empresa, Core Media "define el canal de medios utilizado por AVFoundation y otros marcos de medios de alto nivel que se encuentran en las plataformas de Apple".

Apple ha corregido el CVE-2024-23222 con una gestión de memoria mejorada en iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 y tvOS 18.3.

La lista de dispositivos afectados por este día cero es bastante extensa, ya que el error afecta a modelos antiguos y nuevos, incluidos:

iPhone XS y posteriores,

iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de tercera generación y posteriores, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de séptima generación y posteriores, y iPad mini de quinta generación y posteriores

macOS Sequoia

Apple Watch Series 6 y posteriores

Apple TV HD y Apple TV 4K (todos los modelos)

Apple aún no ha atribuido el descubrimiento de esta vulnerabilidad de seguridad a un investigador de seguridad y no ha publicado detalles sobre los ataques, a pesar de que reveló que se explota en la naturaleza.

Si bien es probable que este error de día cero solo haya sido explotado en ataques dirigidos, se recomienda encarecidamente instalar las actualizaciones de seguridad actuales lo antes posible para bloquear posibles intentos de ataques en curso.

El año pasado, la compañía corrigió un total de seis vulnerabilidades de día cero: la primera en enero, dos en marzo, una cuarta en mayo y dos más en noviembre.

Un año antes, en 2023, Apple corrigió 20 vulnerabilidades de día cero explotadas in situ, entre ellas:

dos vulnerabilidades de día cero (CVE-2023-42916 y CVE-2023-42917) en noviembre

dos vulnerabilidades de día cero (CVE-2023-42824 y CVE-2023-5217) en octubre

cinco vulnerabilidades de día cero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) en septiembre

dos vulnerabilidades de día cero (CVE-2023-37450 y CVE-2023-41993) en septiembre CVE-2023-38606) en julio

tres ataques de día cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio

tres ataques de día cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo

dos ataques de día cero (CVE-2023-28206 y CVE-2023-28205) en abril

y otro ataque de día cero de WebKit (CVE-2023-23529) en febrero

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario