El CCN-CERT, del Centre Criptològic Nacional, informa de la publicació d’un avís de seguretat en Apple en el qual es destaca una vulnerabilitat, identificada sota el CVE-2023-38606, i que afecta els seus productes amb sistemes operatius iOS, iPadOS i macOS. Cal assenyalar que esta vulnerabilitat, la qual ha sigut reportada per un investigador anònim, permet executar codi arbitrari en el sistema de destí.
Anàlisi
La base de dades del NIST no ha registrat la vulnerabilitat descrita, per la qual cosa encara no se li ha assignat puntuació d’acord amb l’escala CVSSv3. El fabricant, no obstant això, ha classificat la vulnerabilitat identificada com a crítica.
Apple ha informat que té coneixement que la vulnerabilitat ha pogut ser explotada de manera activa, però no s’han publicat proves de concepte (PoC) sobre els detalls de les fallades publicades ni exploits que aprofiten la fallada reportada.
Recursos afectats
La vulnerabilitat reportada afecta a les següents versions:
macOS: versions anteriors a 13.4.1 (a)
iOS: versions anteriors a 16.5.1 (a)
iPadOS: versions anteriors a 16.5.1 (a)
Recomanacions
Es recomana encaridament als usuaris i administradors de sistemes que realitzen les actualitzacions esmentades amb la finalitat d’evitar l’exposició a atacs externs i la presa de control dels sistemes informàtics.
Els errors han sigut corregits per Apple en les versions iOS 16.6, iPadOS 16.6 i macOS 13.5.
Les actualitzacions poden trobar-se en el següent enllaç:
A més de l’anterior, el fabricant proporciona les instruccions següents per a facilitar la correcta aplicació d’estes: