CISA advierte sobre un error en el kernel del iPhone que ahora se explota

Iniciado por AXCESS, Febrero 01, 2024, 12:12:50 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 01, 2024, 12:12:50 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

CISA advirtió hoy que una falla de seguridad del kernel parcheada que afecta a los iPhone, Mac, televisores y relojes de Apple ahora se está explotando activamente en ataques.

Rastreado como CVE-2022-48618 y descubierto por los investigadores de seguridad de Apple, el error no se reveló hasta el 9 de enero en una actualización de un aviso de seguridad publicado en diciembre de 2022.

La compañía aún tiene que revelar si la vulnerabilidad también fue reparada silenciosamente hace más de dos años cuando se emitió el aviso por primera vez.

"Un atacante con capacidad de lectura y escritura arbitraria puede ser capaz de eludir la autenticación de puntero", reveló la compañía este mes.

"Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado en versiones de iOS lanzadas antes de iOS 15.7.1".

Esta vulnerabilidad de seguridad de autenticación inadecuada permite a los atacantes eludir la autenticación de puntero, una característica de seguridad diseñada para bloquear ataques que intentan explotar errores de corrupción de memoria.

Apple solucionó la falla con comprobaciones mejoradas en dispositivos con iOS 16.2 o posterior, iPadOS 16.2 o posterior, macOS Ventura o posterior, tvOS 16.2 o posterior y watchOS 9.2 o posterior.

La lista de dispositivos afectados por esta falla explotada activamente es bastante extensa y afecta tanto a modelos más antiguos como a más nuevos, incluyendo:

     iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores

     Macs con macOS Ventura

     Apple TV 4K, Apple TV 4K (segunda generación y posteriores) y Apple TV HD

     y Apple Watch Series 4 y posteriores

Se ordenó a las agencias federales aplicar parches antes del 21 de febrero

Si bien Apple aún tiene que compartir más detalles sobre la explotación activa de CVE-2022-48618 en la naturaleza, CISA ha agregado la vulnerabilidad a su Catálogo de vulnerabilidades explotadas conocidas.

También ordenó a las agencias federales de EE. UU. que corrigieran el error antes del 21 de febrero, como lo exige una directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.

La semana pasada, Apple también lanzó actualizaciones de seguridad para corregir el primer error de día cero de este año (CVE-2024-23222) explotado en ataques, un problema de confusión de WebKit que los atacantes podrían aprovechar para obtener la ejecución de código en iPhones, Mac y Apple TV vulnerables.

El mismo día, la compañía también respaldó parches para modelos más antiguos de iPhone y iPad para dos días cero WebKit más, rastreados como CVE-2023-42916 y CVE-2023-42917 y parcheados en noviembre para dispositivos más nuevos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario