Apple envió el lunes parches de seguridad fuera de banda para abordar dos vulnerabilidades de día cero en iOS 12.5.3 que, según dice, están siendo explotadas activamente en la naturaleza.
La última actualización, iOS 12.5.4 , viene con correcciones para tres errores de seguridad, incluido un problema de corrupción de memoria en el decodificador ASN.1 (CVE-2021-30737) y dos fallas relacionadas con su motor de navegador WebKit que podrían abusarse para lograr un código remoto. ejecución –
- CVE-2021-30761 : un problema de corrupción de la memoria que podría aprovecharse para obtener la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. La falla se solucionó mejorando la gestión estatal.
- CVE-2021-30762 : un problema de uso después de la liberación que podría aprovecharse para obtener la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. La falla se resolvió con una mejor gestión de la memoria.
Tanto CVE-2021-30761 como CVE-2021-30762 fueron reportados a Apple de forma anónima, y la compañía con sede en Cupertino declaró en su aviso que está al tanto de los informes de que las vulnerabilidades «pueden haber sido explotadas activamente». Como suele ser el caso, Apple no compartió ningún detalle sobre la naturaleza de los ataques, las víctimas que pueden haber sido atacadas o los actores de amenazas que pueden estar abusando de ellos.
Sin embargo, una cosa evidente es que los intentos de explotación activos se dirigieron contra los propietarios de dispositivos más antiguos como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (sexta generación). La medida refleja una solución similar que Apple lanzó el 3 de mayo para remediar una vulnerabilidad de desbordamiento de búfer (CVE-2021-30666) en WebKit que apunta al mismo conjunto de dispositivos.
Junto con las dos fallas mencionadas anteriormente, Apple ha parcheado un total de 12 días cero que afectan a iOS, iPadOS, macOS, tvOS y watchOS desde el comienzo del año.
- CVE-2021-1782 (Kernel): una aplicación maliciosa puede elevar los privilegios
- CVE-2021-1870 (WebKit): un atacante remoto puede provocar la ejecución de código arbitrario
- CVE-2021-1871 (WebKit): un atacante remoto puede provocar la ejecución de código arbitrario
- CVE-2021-1879 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede generar secuencias de comandos universales entre sitios
- CVE-2021-30657 (Preferencias del sistema): una aplicación malintencionada puede eludir las comprobaciones de Gatekeeper
- CVE-2021-30661 (WebKit Storage): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2021-30663 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2021-30665 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2021-30666 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2021-30713 (marco TCC): una aplicación malintencionada puede eludir las preferencias de privacidad
Se recomienda a los usuarios de dispositivos Apple actualizar a las últimas versiones para mitigar el riesgo asociado con las vulnerabilidades.
Fuente: www.thehackernews.com