Actualizaciones de Apple corrigen los días cero recientes en iPhones antiguos

Iniciado por AXCESS, Diciembre 11, 2023, 07:31:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 11, 2023, 07:31:35 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Apple ha emitido actualizaciones de seguridad de emergencia para respaldar parches para dos fallas de día cero explotadas activamente en iPhones más antiguos y algunos modelos de Apple Watch y Apple TV.

"Apple está al tanto de un informe que indica que este problema puede haber sido explotado en versiones de iOS anteriores a iOS 16.7.1", dijo la compañía en avisos de seguridad publicados el lunes.

Las dos vulnerabilidades, ahora rastreadas como CVE-2023-42916 y CVE-2023-42917, fueron descubiertas dentro del motor del navegador WebKit, desarrollado por Apple y utilizado por el navegador web Safari de la compañía en todas sus plataformas (por ejemplo, macOS, iOS, iPadOS).

Pueden permitir que los atacantes obtengan acceso a datos confidenciales y ejecuten código arbitrario utilizando páginas web creadas con fines malintencionados diseñadas para explotar errores de corrupción de memoria y fuera de límites en dispositivos sin parches.

Hoy, Apple abordó los días cero en iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 y watchOS 10.2 con validación y bloqueo de entrada mejorados.

La compañía dice que los errores ahora también se corrigieron en la siguiente lista de dispositivos:

     iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
     Apple TV HD y Apple TV 4K (todos los modelos)
     Apple Watch Serie 4 y posteriores

Clément Lecigne, investigador de seguridad del Grupo de Análisis de Amenazas (TAG) de Google, descubrió e informó ambas vulnerabilidades de día cero.

Aunque Apple aún no ha proporcionado detalles sobre la explotación de las vulnerabilidades en los ataques, los investigadores de Google TAG han identificado y divulgado con frecuencia información sobre fallas de día cero empleadas en ataques de software de vigilancia patrocinados por el estado dirigidos a personas de alto perfil, incluidos periodistas, figuras de la oposición, y disidentes.

CISA también ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) la semana pasada, el 4 de diciembre, que parchearan sus dispositivos contra estas dos vulnerabilidades de seguridad basándose en evidencia de explotación activa.

Desde principios de año, Apple ha parcheado 20 vulnerabilidades de día cero explotadas en ataques:

     dos días cero (CVE-2023-42916 y CVE-2023-42917) en noviembre

     dos de día cero (CVE-2023-42824 y CVE-2023-5217) en octubre

     cinco días cero (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) en septiembre

     dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio

     tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio

     tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo

     dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril

     y otro WebKit de día cero (CVE-2023-23529) en febrero

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario