Apple lanzó actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de día cero explotadas en ataques y que afectaron a dispositivos iPhone, iPad y Mac, alcanzando los 20 días cero parcheados desde principios de año.
«Apple está al tanto de un informe de que este problema puede haber sido explotado contra versiones de iOS anteriores a iOS 16.7.1», dijo la compañía en un aviso emitido el miércoles.
Los dos errores se encontraron en el motor del navegador WebKit (CVE-2023-42916 y CVE-2023-42917), lo que permite a los atacantes obtener acceso a información confidencial a través de una debilidad de lectura fuera de los límites y obtener la ejecución de código arbitrario a través de un error de corrupción de memoria en dispositivos vulnerables a través de páginas web creadas con fines malintencionados.
La compañía dice que abordó las fallas de seguridad para dispositivos con iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 y Safari 17.1.2 con una validación y bloqueo de entrada mejorados.
La lista de dispositivos Apple afectados es bastante extensa e incluye:
- iPhone XS y modelos posteriores
- iPad Pro de 12,9 pulgadas de 2.ª generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 6.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- Macs con macOS Monterey, Ventura, Sonoma
El investigador de seguridad Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, encontró e informó de ambos días cero.
Si bien Apple no ha publicado información sobre la explotación en curso en la naturaleza, los investigadores de Google TAG a menudo han encontrado y divulgado días cero utilizados en ataques de software espía patrocinados por el estado contra personas de alto riesgo, como periodistas, políticos de la oposición y disidentes.
20 días cero explotados en estado salvaje en 2023
CVE-2023-42916 y CVE-2023-42917 son las vulnerabilidades de día cero número 19 y 20 explotadas en los ataques que Apple corrigió este año.
Google TAG reveló otro error de día cero (CVE-2023-42824) en el kernel XNU, lo que permite a los atacantes escalar privilegios en iPhones y iPads vulnerables.
Apple parcheó recientemente otros tres errores de día cero (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) informados por investigadores de Citizen Lab y Google TAG y explotados por actores de amenazas para implementar el software espía Predator.
Citizen Lab reveló otros dos zero-days (CVE-2023-41061 y CVE-2023-41064), corregidos por Apple en septiembre y abusados como parte de una cadena de exploits de zero-click (denominada BLASTPASS) para instalar el software espía Pegasus de NSO Group.
Desde principios de año, Apple también ha parcheado:
- dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio
- tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio
- tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo
- dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril
- y otro WebKit de día cero (CVE-2023-23529) en febrero