Apple lanzó el jueves actualizaciones de seguridad de emergencia para iOS, iPadOS, macOS y watchOS para abordar dos fallas de día cero que han sido explotadas en la naturaleza para entregar el software espía mercenario Pegasus de NSO Group.
Análisis
Los problemas se describen a continuación:
- CVE-2023-41061 : un problema de validación en Wallet que podría provocar la ejecución de código arbitrario al manejar un archivo adjunto creado con fines malintencionados.
- CVE-2023-41064 : un problema de desbordamiento del búfer en el componente de E/S de imagen que podría provocar la ejecución de código arbitrario al procesar una imagen creada con fines malintencionados.
Recursos afectados
- iOS 16.6.1 y iPadOS 16.6.1 : iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- macOS Ventura 13.5.2 : dispositivos macOS que ejecutan macOS Ventura
- watchOS 9.6.2 – Apple Watch Series 4 y posteriores
Recomendaciones
Aplicar las actualizaciones disponibles para los dispositivos y sistemas operativos descritos en el punto anterior.
Referencias