El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en Apple en el que se destaca una vulnerabilidad, identificada bajo el CVE-2023-38606, y que afecta a sus productos con sistemas operativos iOS, iPadOS y macOS. Cabe señalar que dicha vulnerabilidad, la cual ha sido reportada por un investigador anónimo, permite ejecutar código arbitrario en el sistema de destino.
Analisis
La base de datos del NIST no ha registrado la vulnerabilidad descrita, por lo que aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada como crítica.
Apple ha informado de que tiene conocimiento de que la vulnerabilidad ha podido ser explotada de manera activa, pero no se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados ni exploits que aprovechen el fallo reportado.
Recursos afectados
La vulnerabilidad reportada afecta a las siguientes versiones:
macOS: versiones anteriores a 13.4.1 (a)
iOS: versiones anteriores a 16.5.1 (a)
iPadOS: versiones anteriores a 16.5.1 (a)
RECOMENDACIONES
Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Los errores han sido corregidos por Apple en las versiones iOS 16.6, iPadOS 16.6 y macOS 13.5.
Las actualizaciones pueden encontrarse en el siguiente enlace:
Además de lo anterior, el fabricante proporciona las instrucciones siguientes para facilitar la correcta aplicación de las mismas: