Se insta a los usuarios de iPhone y Mac a actualizar rápidamente sus dispositivos. Manzana acaba de publicar actualizaciones de seguridad de emergencia para corregir tres vulnerabilidades de día cero aprovechadas en los ataques. Dos de ellos se encontraron en el motor de representación de páginas web, WebKit (CVE-2023-41993) y el marco de seguridad (CVE-2023-41991), lo que brinda a los atacantes la capacidad de eludir la validación de firmas al usar aplicaciones maliciosas o ejecutar código arbitrario de forma maliciosa. páginas web elaboradas. La tercera falla se encontró en Kernel Framework, que proporciona API y admite extensiones de kernel y controladores de dispositivos. Los atacantes locales pueden aprovechar esta falla (CVE-2023-41992) para escalar privilegios.

En un aviso de seguridad relacionado con estos fallos, la empresa indica lo siguiente: "Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.7". Por lo tanto, la lista de dispositivos afectados es bastante larga, incluido el iPhone 8 y posteriores, el iPad mini de quinta generación y posteriores, cualquier Mac con macOS Monterey y posteriores, y el Apple Watch Series 4 y posteriores. . Todos fueron descubiertos por Bill Marczak del Citizen Lab de la Munk School de la Universidad de Toronto y Maddie Stone del grupo de análisis de amenazas de Google. Por lo tanto, Apple ha publicado una solución para estas tres infracciones disponibles ahora en MacOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 y WatchOS 9.6.3/10.0.1 resolviendo un problema de validación de certificados y mejorando los controles.

16 vulnerabilidades de día cero solucionadas este año

Si bien no se han proporcionado detalles adicionales sobre la explotación de dichas vulnerabilidades, los investigadores de seguridad de Citizen Lab y el Grupo de Análisis de Amenazas de Google, como Bill Marczak y Maddie Stone, han revelado a menudo que este tipo de vulnerabilidad se aprovechó en ataques de software espía dirigidos a objetivos específicos. individuos, incluidos periodistas, opositores políticos, etc. A principios de este mes, Investigadores de Citizen Lab y Apple descubrieron dos vulnerabilidades ataques críticos (CVE-2023-41061 y CVE-2023-41064) que conducen a ataques sin clic. La compañía de Cupertino rápidamente corrigió la situación e instó a los usuarios a actualizar iOS rápidamente. En total, este año se corrigieron nada menos que 16 vulnerabilidades de día cero.