Apple se apresura a corregir las fallas de día cero explotadas por el software espía Pegasus en iPhones

Apple lanzó el jueves actualizaciones de seguridad de emergencia para iOS, iPadOS, macOS y watchOS para abordar dos fallas de día cero que han sido explotadas en la naturaleza para entregar el software espía mercenario Pegasus de NSO Group.

Análisis

Los problemas se describen a continuación:

    • CVE-2023-41061 : un problema de validación en Wallet que podría provocar la ejecución de código arbitrario al manejar un archivo adjunto creado con fines malintencionados.
    • CVE-2023-41064 : un problema de desbordamiento del búfer en el componente de E/S de imagen que podría provocar la ejecución de código arbitrario al procesar una imagen creada con fines malintencionados.

Recursos afectados

    • iOS 16.6.1 y iPadOS 16.6.1 : iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
    • macOS Ventura 13.5.2 : dispositivos macOS que ejecutan macOS Ventura
    • watchOS 9.6.2 – Apple Watch Series 4 y posteriores

Recomendaciones

Aplicar las actualizaciones disponibles para los dispositivos y sistemas operativos descritos en el punto anterior.

Referencias