Apple publicó el lunes actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una falla de Zero-Day que ha sido objeto de explotación activa.
Se trata de la primera vulnerabilidad de Zero-Day activamente explotada que Apple parchea este año. El año pasado, el fabricante del iPhone había abordado 20 vulnerabilidades que se han empleado en ataques del mundo real.
Análisis
El problema, registrado como CVE-2024-23222, es un error de confusión de tipo que podría ser explotado por un actor de amenaza para lograr la ejecución de código arbitrario al procesar contenido web maliciosamente diseñado.
Las vulnerabilidades de confusión de tipos, en general, podrían ser utilizadas como arma para realizar accesos a memoria fuera de los límites o provocar un bloqueo y la ejecución de código arbitrario.
Apple, en un escueto aviso, reconoció que es «consciente de un informe de que este problema puede haber sido explotado», pero no compartió ningún otro dato específico sobre la naturaleza de los ataques o los actores de la amenaza que aprovechan la deficiencia.
Además, Apple también ha retroportado las correcciones de CVE-2023-42916 y CVE-2023-42917 -cuyos parches se publicaron en diciembre de 2023- a dispositivos más antiguos –
La revelación también se produce después de que las autoridades chinas revelaran que han utilizado vulnerabilidades previamente conocidas en la funcionalidad AirDrop de Apple para ayudar a las fuerzas de seguridad a identificar a los remitentes de contenido inapropiado, utilizando una técnica basada en tablas arcoíris.
Versiones Afectadas
- tvOS 17.3
- Safari 17.3
- macOS Monterey 12.7.3
- macOS Ventura 13.6.4
- iOS 17.3 and iPadOS 17.3
- macOS Sonoma 14.3
- iOS 16.7.5 and
- iPadOS 16.7.5
Recomendaciones
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 17.3 y iPadOS 17.3 – iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de 2ª generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de 1ª generación y posteriores, iPad Air de 3ª generación y posteriores, iPad de 6ª generación y posteriores, y iPad mini de 5ª generación y posteriores.
- iOS 16.7.5 y iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1ª generación
- macOS Sonoma 14.3 – Macs con macOS Sonoma
- macOS Ventura 13.6.4 – Macs con macOS Ventura
- macOS Monterey 12.7.3 – Macs con macOS Monterey
- tvOS 17.3 – Apple TV HD y Apple TV 4K (todos los modelos)
- Safari 17.3 – Macs con macOS Monterey y macOS Ventura
Referencias
https://thehackernews.com/2024/01/apple-issues-patch-for-critical-zero.html
https://support.apple.com/en-us/HT214055
https://support.apple.com/en-us/HT214056
https://support.apple.com/en-us/HT214057
https://support.apple.com/en-us/HT214058
https://support.apple.com/en-us/HT214059
https://support.apple.com/en-us/HT214061
https://support.apple.com/en-us/HT214063