El CCN-CERT, del Centre Cristològic Nacional, informa de la publicació d’un avís de seguretat en Apple en el qual es destaca una vulnerabilitat, identificada amb el nom CVE-2023-38606, i que afecta els seus productes amb sistemes operatius iOS, iPadOS i macOS. Cal assenyalar que aquesta vulnerabilitat, que ha sigut reportada per un investigador anònim, permet executar codi arbitrari en el sistema de destinació.
Anàlisi
La base de dades del NIST no ha registrat la vulnerabilitat descrita, per la qual cosa encara no se li ha assignat puntuació d’acord amb l’escala CVSSv3. El fabricant, no obstant això, ha classificat la vulnerabilitat identificada com a crítica.
Apple ha informat que té coneixement que la vulnerabilitat ha pogut ser explotada de manera activa, però no s’han publicat proves de concepte (PoC) sobre els detalls dels errors publicats ni explotadors que aprofiten l’error reportat.
Recursos afectats
La vulnerabilitat reportada afecta les següents versions:
- macOS: versions anteriors a 13.4.1 (a)
- iOS: versions anteriors a 16.5.1 (a)
- iPadOS: versions anteriors a 16.5.1 (a)
Recomanacions
Es recomana encaridament als usuaris i administradors de sistemes que realitzen les actualitzacions esmentades amb la finalitat d’evitar l’exposició a atacs externs i la presa de control dels sistemes informàtics.
Els errors han sigut corregits per Apple en les versions iOS 16.6, iPadOS 16.6 i macOS 13.5.
Les actualitzacions poden trobar-se en el següent enllaç:
A més de l’anterior, el fabricant proporciona les instruccions següents per a facilitar la correcta aplicació d’aquestes:
Referències
- About the security content of iOS 16.6 and iPadOS 16.6
- Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks
- Apple fixes exploited zero-day in all of its Goses (CVE-2023-38606)