Las actualizaciones de emergencia de Apple solucionan 3 nuevos días cero

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple lanzó actualizaciones de seguridad de emergencia para parchear tres nuevas vulnerabilidades de día cero explotadas en ataques dirigidos a usuarios de iPhone y Mac, para un total de 16 días cero corregidos este año.

Se encontraron dos errores en el motor del navegador WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que permite a los atacantes eludir la validación de firmas utilizando aplicaciones maliciosas u obtener la ejecución de código arbitrario a través de páginas web creadas con fines malintencionados.

Apple corrigió los tres errores de día cero en macOS 12.7 / 13.6, iOS 16.7 / 17.0.1, iPadOS 16.7 / 17.0.1 y watchOS 9.6.3 / 10.0.1 abordando un problema de validación de certificados y mediante comprobaciones mejoradas.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS anteriores a iOS 16.7", reveló la compañía en avisos de seguridad que describen las fallas de seguridad.

La lista de dispositivos afectados abarca modelos de dispositivos más antiguos y más nuevos, e incluye:

• iPhone 8 y versiones posteriores
• iPad mini 5.ª generación y posteriores
• Macs con macOS Monterey y versiones posteriores
• Apple Watch Series 4 y versiones posteriores

Los tres días cero fueron encontrados e informados por Bill Marczak del Citizen Lab de la Escuela Munk de la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas de Google.

Si bien Apple aún no ha proporcionado detalles adicionales sobre la explotación de las fallas en la naturaleza, los investigadores de seguridad de Citizen Lab y Google Threat Analysis Group a menudo han revelado errores de día cero abusados en ataques de spyware dirigidos a personas de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes.

Citizen Lab reveló otros dos días cero (CVE-2023-41061 y CVE-2023-41064), también corregidos por Apple en actualizaciones de seguridad de emergencia a principios de este mes y abusados como parte de una cadena de exploits de clic cero (denominada BLASTPASS) para infectar iPhones completamente parcheados con el spyware comercial Pegasus de NSO Group.

Desde principios de año, Apple también ha parcheado:

• dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio
• tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio
• tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo
• dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril
• y otro WebKit de día cero (CVE-2023-23529) en febrero

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta