Se han descubierto dos vulnerabilidades Zero-Day en las versiones iOS y iPadOS 17.4, lo que permite a los actores de amenazas eludir las protecciones de la memoria y ejecutar operaciones arbitrarias de lectura y escritura del kernel en los dispositivos afectados.
A estas vulnerabilidades se les ha asignado CVE-2024-23225 y CVE-2024-23296 y Apple ya ha proporcionando parches para su resolución.
Además, Apple reconoció los informes que sugieren que los actores de amenazas pueden haber explotado estas vulnerabilidades de forma activa.
CVE-2024-23225: esta vulnerabilidad surge en el kernel de iOS debido a un problema de corrupción de la memoria, lo que permite a los actores de amenazas ejecutar operaciones arbitrarias de lectura y escritura del kernel eludiendo las protecciones del kernel.
CVE-2024-23296: RTKit sirve como el sistema operativo en tiempo real de Apple, ampliamente utilizado en varios dispositivos, incluidos iPhone, iPad y Apple Watch.
Esta vulnerabilidad refleja el problema mencionado anteriormente, permitiendo a los actores de amenazas ejecutar operaciones de lectura/escritura arbitrarias en el kernel, evitando las protecciones del kernel.
Los productos afectados incluyen iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores y iPad. mini 5ta generación y posteriores. Mac no es afectado.
Además, Apple también ha abordado CVE-2024-23256 y CVE-2024-23243, que estaban asociados con la accesibilidad y la navegación privada segura. Apple insta a sus usuarios a instalar rápidamente los últimos parches y actualizaciones de seguridad para mitigar el riesgo de explotación por parte de actores de amenazas.
Fuente: Firsthackersnews