Apple ha lanzado otra ronda de parches de seguridad para abordar tres fallas de Zero-Days explotadas activamente que afectan a iOS, iPadOS, macOS, watchOS y Safari, elevando a 16 el total de errores de día cero descubiertos en su software este año.
La lista de vulnerabilidades de seguridad es la siguiente:
- CVE-2023-41991: un problema de validación de certificados en el Security framework que podría permitir que una aplicación maliciosa omita la validación de firmas.
- CVE-2023-41992: una falla de seguridad en el Kernel que podría permitir a un atacante local elevar sus privilegios.
- CVE-2023-41993: una falla de WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
Apple no proporcionó detalles adicionales, salvo un reconocimiento de que "el problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.7".
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 16.7 y iPadOS 16.7: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- iOS 17.0.1 y iPadOS 17.0.1: iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación generación y posteriores, iPad mini de 5.ª generación y posteriores
- MacOS Monterey 12.7 y MacOS Ventura 13.6
- WatchOS 9.6.3 y WatchOS 10.0.1: Apple Watch Series 4 y posteriores
- Safari 16.6.1 - macOS Big Sur y macOS Monterey
A Bill Marczak, del Citizen Lab de la Escuela Munk de la Universidad de Toronto, y a Maddie Stone, del Grupo de Análisis de Amenazas (TAG) de Google, se les atribuye el mérito de descubrir e informar sobre las deficiencias, lo que indica que es posible que se haya abusado de ellos como parte de un software espía altamente dirigido a civiles, miembros de la sociedad que corren un mayor riesgo de sufrir amenazas cibernéticas.
La divulgación se produce dos semanas después de que Apple resolvió otros dos días cero explotados activamente (CVE-2023-41061 y CVE-2023-41064) que se habían encadenado como parte de una cadena de exploits de iMessage de Zero-Clic llamada BLASTPASS para implementar un software espía mercenario conocido. como Pegaso.
A esto le siguieron correcciones de envío de Google y Mozilla para contener una falla de seguridad (CVE-2023-4863) que podría resultar en la ejecución de código arbitrario al procesar una imagen especialmente diseñada.
Hay evidencia que sugiere que tanto CVE-2023-41064, una vulnerabilidad de desbordamiento de búfer en el marco de análisis de imágenes Image I/O de Apple, como CVE-2023-4863, un desbordamiento de búfer de montón en la biblioteca de imágenes WebP (libwebp), podrían referirse a el mismo error, según el fundador de Isosceles y exinvestigador del Zero Project de Google, Ben Hawkes.
Rezilion reveló que la biblioteca libwebp se utiliza en varios sistemas operativos, paquetes de software, aplicaciones Linux e imágenes de contenedores, destacando que el alcance de la vulnerabilidad es mucho más amplio de lo que se suponía inicialmente.
"La buena noticia es que el error parece haber sido parcheado correctamente en libwebp, y ese parche está llegando a donde debería ir", dijo Hawkes. "La mala noticia es que libwebp se utiliza en muchos lugares y podría pasar algún tiempo hasta que el parche alcance la saturación".
Fuente: THN