Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Apple corrige dos nuevos días cero de iOS en actualizaciones de emergencia

Apple corrige dos nuevos días cero de iOS en actualizaciones de emergencia

por Dragora

Apple lanzó actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de día cero explotadas en ataques y que afectaron a dispositivos iPhone, iPad y Mac, alcanzando los 20 días cero parcheados desde principios de año.

«Apple está al tanto de un informe de que este problema puede haber sido explotado contra versiones de iOS anteriores a iOS 16.7.1», dijo la compañía en un aviso emitido el miércoles.

Los dos errores se encontraron en el motor del navegador WebKit (CVE-2023-42916 y CVE-2023-42917), lo que permite a los atacantes obtener acceso a información confidencial a través de una debilidad de lectura fuera de los límites y obtener la ejecución de código arbitrario a través de un error de corrupción de memoria en dispositivos vulnerables a través de páginas web creadas con fines malintencionados.

La compañía dice que abordó las fallas de seguridad para dispositivos con iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 y Safari 17.1.2 con una validación y bloqueo de entrada mejorados.

Manzana

La lista de dispositivos Apple afectados es bastante extensa e incluye:

  • iPhone XS y modelos posteriores
  • iPad Pro de 12,9 pulgadas de 2.ª generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 6.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
  • Macs con macOS Monterey, Ventura, Sonoma

El investigador de seguridad Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, encontró e informó de ambos días cero.

Si bien Apple no ha publicado información sobre la explotación en curso en la naturaleza, los investigadores de Google TAG a menudo han encontrado y divulgado días cero utilizados en ataques de software espía patrocinados por el estado contra personas de alto riesgo, como periodistas, políticos de la oposición y disidentes.

20 días cero explotados en estado salvaje en 2023

CVE-2023-42916 y CVE-2023-42917 son las vulnerabilidades de día cero número 19 y 20 explotadas en los ataques que Apple corrigió este año.

Google TAG reveló otro error de día cero (CVE-2023-42824) en el kernel XNU, lo que permite a los atacantes escalar privilegios en iPhones y iPads vulnerables.

Apple parcheó recientemente otros tres errores de día cero (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) informados por investigadores de Citizen Lab y Google TAG y explotados por actores de amenazas para implementar el software espía Predator.

Citizen Lab reveló otros dos zero-days (CVE-2023-41061 y CVE-2023-41064), corregidos por Apple en septiembre y abusados como parte de una cadena de exploits de zero-click (denominada BLASTPASS) para instalar el software espía Pegasus de NSO Group.

Desde principios de año, Apple también ha parcheado:

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!