Apple ha publicado actualizaciones de seguridad de emergencia para hacer frente a dos nuevas vulnerabilidades Zero-Days explotadas en ataques para comprometer iPhones, Macs y iPads.
"Apple es consciente de que este problema puede haber sido explotado activamente", dijo la compañía al describir los problemas en los avisos de seguridad publicados el viernes.
Apple ha solucionado los Zero-Days en iOS 15.7.5 y iPadOS 15.7.5, macOS Monterey 12.6.5, y macOS Big Sur 11.7.6 mejorando la validación de entradas y la gestión de memoria.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ordenó a las agencias federales parchear dos vulnerabilidades de seguridad explotadas activamente para hackear iPhones, Macs y iPads.
De acuerdo con una Directiva Operativa vinculante (BOD 22-01) emitida en noviembre de 2022, las agencias del Poder Ejecutivo Civil Federal (FCEB) están obligadas a parchear sus sistemas contra todos los fallos de seguridad añadidos al catálogo de Vulnerabilidades Explotadas Conocidas de CISA.
El primer fallo de seguridad (rastreado como CVE-2023-28206) es una escritura fuera de los límites de IOSurfaceAccelerator que podría provocar la corrupción de datos, un bloqueo o la ejecución de código. Una explotación exitosa permite a los atacantes utilizar una aplicación maliciosamente diseñada para ejecutar código arbitrario con privilegios de kernel en los dispositivos objetivo.
El segundo día cero (CVE-2023-28205) es una debilidad de WebKit que permite la corrupción de datos o la ejecución de código arbitrario al reutilizar la memoria liberada. Es una debilidad de WebKit use-after-free que permite a los actores de amenazas ejecutar código malicioso en iPhones, Macs o iPads hackeados después de engañar a los objetivos para que carguen páginas web maliciosas bajo el control de los atacantes.
Apple abordó los dos Zero-Days en iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 y Safari 16.4.1 mejorando la validación de entrada y la gestión de memoria. La compañía dijo que la lista de dispositivos afectados es bastante extensa e incluye:
- iPhone 8 y posteriores,
- iPad Pro (todos los modelos),
- iPad Air de 3ª generación y posteriores,
- iPad 5ª generación y posteriores,
- iPad mini de 5ª generación y posteriores,
- y los Mac con macOS Ventura.
Los fallos fueron descubiertos por el Grupo de Análisis de Amenazas de Google y el Laboratorio de Seguridad de Amnistía Internacional mientras eran explotados en ataques como parte de una cadena de exploits.
Clément Lecigne, del Grupo de Análisis de Amenazas de Google, y Donncha Ó Cearbhaill, del Laboratorio de Seguridad de Amnistía Internacional, son las personas a las que Apple atribuye la notificación de los fallos.
Ambas organizaciones informan con frecuencia de campañas de actores de amenazas patrocinadas por gobiernos, en las que se aprovechan vulnerabilidades de día cero para instalar programas espía en los dispositivos de personas de alto riesgo, como políticos, periodistas y disidentes de todo el mundo.
Google TAG y Amnistía Internacional compartieron más información sobre otras vulnerabilidades Zero-Day y Día N de Android, iOS y Chrome de las que se ha abusado en dos campañas recientes para desplegar programas espía comerciales.
Hace dos meses, Apple solucionó otra vulnerabilidad Zero-Day de WebKit (CVE-2023-23529) que se aprovechó para provocar bloqueos del sistema operativo y obtener la ejecución de código en iPhones, iPads y Mac vulnerables.