A punto de cerrar el año 2023, Apple ha desplegado con urgencia una actualización destinada a abordar dos vulnerabilidades de día cero en sus dispositivos iPhone, iPad y Mac.
Parches de seguridad urgentes
La firma con sede en Cupertino ha difundido parches de seguridad dirigidos a iOS y iPadOS, macOS y Safari, con el propósito de impedir que posibles atacantes accedan a información personal.
Estas vulnerabilidades, identificadas como CVE-2023-42916 y CVE-2023-42917, fueron identificadas por Clément Lecigne, un investigador de seguridad vinculado al Grupo de Análisis de Amenazas de Google (TAG).
Ambas amenazas residen en el motor del navegador WebKit, ofreciendo a los atacantes una puerta de acceso a datos confidenciales al explorar sitios web infectados. El método de explotación implica la utilización de una falla de corrupción de memoria que posibilita la ejecución de código arbitrario.
Dispositivos compatibles con la actualización
“La manipulación de contenido web puede exponer información confidencial, según un informe conocido por Apple, sugiriendo la posible explotación de este problema en versiones anteriores a iOS 16.7.1″, señalan desde Cupertino en su sitio web.
Las actualizaciones abordan esta vulnerabilidad mediante una validación de entrada mejorada, corrigiendo así el fallo de lectura, además de implementar un bloqueo destinado a parchear el error de corrupción de memoria. La versión iOS 17.1.2 ya se encuentra disponible para dispositivos iPhone XS y modelos posteriores.
En el caso de iPadOS 17.1.2, la actualización es compatible con iPad Pro de 12,9 pulgadas (a partir de la 2ª generación), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (a partir de la 1ª generación), iPad Air (a partir de la 3ª generación), iPad (a partir de la 6ª generación) y iPad Mini de 5ª generación en adelante.
Otras versiones de iOS no lograron parchar este error
El 4 de octubre, el equipo de seguridad de la empresa tecnológica logró abordar una vulnerabilidad en el Kernel XNU que posibilitaba a un posible atacante escalar privilegios en dispositivos iPhone y iPad.
La solución implementada en iOS 17.0.3 y iPadOS 17.0.3 incluyó controles mejorados y la actualización de libvpx 1.13.1, con el objetivo de prevenir la ejecución de código a través de un desbordamiento de búfer.
Previo a este incidente, Google TAG y Citizen Lab habían informado sobre otros errores que aprovechaban un exploit en iMessage para ejecutar Pegasus, el software de espionaje desarrollado por el NSO Group.
