Apple va publicar dilluns actualitzacions de seguretat per a iOS, iPadOS, macOS, tvOS i el navegador web Safari per a abordar una fallada de Zero-Day que ha sigut objecte d’explotació activa.
Es tracta de la primera vulnerabilitat de Zero-Day activament explotada que Apple apedaça enguany. L’any passat, el fabricant de l’iPhone havia abordat 20 vulnerabilitats que s’han emprat en atacs del món real.
Anàlisi
El problema, registrat com a CVE-2024-23222, és un error de confusió de tipus que podria ser explotat per un actor d’amenaça per a aconseguir l’execució de codi arbitrari en processar contingut web maliciosament dissenyat.
Les vulnerabilitats de confusió de tipus, en general, podrien ser utilitzades com a arma per a realitzar accessos a memòria fora dels límits o provocar un bloqueig i l’execució de codi arbitrari.
Apple, en un avís breu, va reconéixer que és “conscient d’un informe que diu que este problema pot haver sigut explotat”, però no va compartir cap altra dada específica sobre la naturalesa dels atacs o els actors de l’amenaça que aprofiten la deficiència.
A més, Apple també ha retroportat les correccions de CVE-2023-42916 i CVE-2023-42917 -els pedaços dels quals es van publicar al desembre de 2023- a dispositius més antics.
La revelació també es produïx després que les autoritats xineses revelaren que han utilitzat vulnerabilitats prèviament conegudes en la funcionalitat AirDrop d’Apple per a ajudar les forces de seguretat a identificar els remitents de contingut inapropiat, utilitzant una tècnica basada en taules de l’arc de Sant Martí.
Versions afectades
-
-
- tvOS 17.3
- Safari 17.3
- macOS Monterey 12.7.3
- macOS Ventura 13.6.4
- iOS 17.3 and iPadOS 17.3
- macOS Sonoma 14.3
- iOS 16.7.5 and
- iPadOS 16.7.5
-
Recomanacions
Les actualitzacions estan disponibles per als següents dispositius i sistemes operatius:
-
-
- iOS 17.3 i iPadOS 17.3 – iPhone XS i posteriors, iPad Pro de 12,9 polzades de 2a generació i posteriors, iPad Pro de 10,5 polzades, iPad Pro d’11 polzades de 1a generació i posteriors, iPad Air de 3a generació i posteriors, iPad de 6a generació i posteriors, i iPad mini de 5a generació i posteriors.
- iOS 16.7.5 i iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5a generació, iPad Pro de 9,7 polzades i iPad Pro de 12,9 polzades de 1a generació
- macOS Sonoma 14.3 – Macs ambmacOS Sonoma.
- macOS Ventura 13.6.4 – Macs amb macOS Ventura
- macOS Monterey 12.7.3 – Macs ambmacOS Monterey
- tvOS 17.3 – Apple TV HD i Apple TV 4K (tots els models)
- Safari 17.3 – Macs con macOS Monterey i macOS Ventura
-
Referències
https://thehackernews.com/2024/01/apple-issues-patch-for-critical-zero.html
https://support.apple.com/en-us/HT214055
https://support.apple.com/en-us/HT214056
https://support.apple.com/en-us/HT214057
https://support.apple.com/en-us/HT214058
https://support.apple.com/en-us/HT214059
https://support.apple.com/en-us/HT214061
https://support.apple.com/en-us/HT214063