Apple ha abordado tres nuevas vulnerabilidades explotadas en ataques activos contra iPhones, Macs y iPads. "Apple es muy consciente de que este problema puede haber sido explotado activamente", reveló la empresa en las advertencias de seguridad que describen las fallas.
Todos los errores de seguridad se encuentran en el motor de navegador WebKit multiplataforma y se rastrean como CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373.
La primera vulnerabilidad es un escape de sandbox que permite a los atacantes remotos escapar de los sandboxes de contenido web.
Los otros son una lectura más allá de los límites que puede ayudar a los atacantes a obtener acceso a información confidencial y un problema de uso posterior a la liberación que permite lograr la ejecución de código arbitrario en dispositivos comprometidos.
Apple abordó los tres Zero-Day en macOS Ventura 13.4, iOS y iPadOS 16.5, tvOS 16.5, watchOS 9.5 y Safari 16.5 con controles de límite mejorados, validación de entrada y administración de memoria.
La lista de dispositivos afectados es bastante extensa, ya que el error afecta a los modelos más antiguos y más nuevos, e incluye:
- iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación), iPod touch (7.ª generación) y iPhone 8 y posteriores
- iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
- Mac con macOS Big Sur, Monterey y Ventura
- Apple Watch Serie 4 y posteriores
- Apple TV 4K (todos los modelos) y Apple TV HD
La compañía también reveló que CVE-2023-28204 y CVE-2023-32373 (informados por investigadores anónimos) se abordaron por primera vez con parches de respuesta de seguridad rápida (RSR) para dispositivos iOS 16.4.1 y macOS 13.3.1 emitidos el 1 de mayo.
Seis Zero-Days parcheados desde principios de 2023
Si Apple dice que es consciente de que los tres días cero parcheados hoy están bajo explotación, nadie ha compartido información sobre estos ataques.
Sin embargo, los avisos de hoy revelan que CVE-2023-32409 ha sido informado por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional.
Las organizaciones que forman parte de los investigadores publican regularmente detalles sobre campañas respaldadas por el estado que aprovechan los errores iniciales para implementar spyware mercenario en los teléfonos inteligentes y las computadoras de políticos, periodistas, disidentes y más.
En abril, Apple planteó otros dos Zero-Days (CVE-2023-28206 y CVE-2023-28205) parte de las cadenas de explotación en estado de salvamento de las vulnerabilidades de día cero y día cero de Android, iOS y Chrome, abusadas para implementar software espía comercial en dispositivos objetivo de alto riesgo en todo el mundo.
En febrero, Apple abordó otro Zero-Day de WebKit (CVE-2023-23529) explotado en ataques para eludir la ejecución de código en iPhones, iPads y Mac vulnerables.
Fuente: BC