Apple ha respaldado parches de seguridad que abordan una vulnerabilidad de día cero explotable de forma remota para iPhones y iPads más antiguos.
Este error se rastrea como CVE-2022-42856 y se deriva de una debilidad de confusión de tipos en el motor de navegación del navegador web Webkit de Apple.
Los atacantes pueden explotar con éxito esta falla al engañar a sus objetivos para que visiten un sitio web creado con fines maliciosos bajo su control.
Una vez logrado, la ejecución de código arbitrario podría permitirles ejecutar comandos en el sistema operativo subyacente, implementar cargas adicionales de malware o spyware, o desencadenar otras actividades maliciosas.
En un aviso de seguridad publicado hoy, Apple dijo una vez más que están al tanto de los informes de que esta falla de seguridad «puede haber sido explotada activamente».
La empresa abordó el error de día cero mejorando el manejo del estado de los siguientes dispositivos: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6.ª generación).
Proteja los dispositivos más antiguos para bloquear ataques
Aunque Apple reveló que recibió informes de explotación activa, la empresa aún no ha publicado información sobre estos ataques.
Al ocultar esta información, es probable que Apple pretenda permitir que tantos usuarios como sea posible parcheen sus dispositivos antes de que otros atacantes detecten los detalles del día cero y comiencen a implementar exploits personalizados dirigidos a iPhones y iPads vulnerables.
Si bien es probable que esta falla de seguridad solo se haya utilizado en ataques dirigidos, se recomienda encarecidamente instalar las actualizaciones de seguridad actuales lo antes posible para bloquear posibles intentos de ataque.
CISA agregó el día cero a su lista de vulnerabilidades explotadas conocidas el 14 de diciembre , requiriendo que las agencias de la Rama Ejecutiva Civil Federal (FCEB) lo parcheen para protegerlos «contra amenazas activas».
