Apple lanza una nueva actualización de día cero de WebKit para iPhone y Mac
Apple ha publicado actualizaciones de seguridad de emergencia para abordar una nueva vulnerabilidad de día cero utilizada en ataques para hackear iPhones, iPads y Macs.
El parche de día cero de hoy se rastrea como CVE-2023-23529 [ 1 , 2 ] y es un problema de confusión de WebKit que podría explotarse para desencadenar bloqueos del sistema operativo y lograr la ejecución del código en dispositivos comprometidos.
La explotación exitosa permite a los atacantes ejecutar código arbitrario en dispositivos que ejecutan versiones vulnerables de iOS, iPadOS y macOS después de abrir una página web maliciosa (el error también afecta a Safari 16.3.1 en macOS Big Sur y Monterey).
«El procesamiento de contenido web creado con fines maliciosos puede conducir a la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema puede haber sido explotado activamente», dijo Apple al describir el día cero.
«Nos gustaría agradecer a The Citizen Lab de la Munk School de la Universidad de Toronto por su ayuda».
Apple abordó CVE-2023-23529 con controles mejorados en iOS 16.3.1, iPadOS 16.3.1 y macOS Ventura 13.2.1.
La lista completa de dispositivos afectados es bastante extensa, ya que el error afecta a los modelos más antiguos y más nuevos, e incluye:
iPhone 8 y posterior
iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Mac con macOS Ventura
Hoy, Apple también parchó un uso del kernel después de una falla gratuita (CVE-2023-23514) informada por Xinru Chi de Pangu Lab y Ned Williamson de Google Project Zero que podría generar código arbitrario con privilegios de kernel en Mac y iPhone.
Primer día cero parcheado por Apple este año
Aunque la compañía reveló que está al tanto de los informes de explotación en estado salvaje, aún tiene que publicar información sobre estos ataques.
Al restringir el acceso a esta información, es probable que Apple quiera permitir que tantos usuarios como sea posible actualicen sus dispositivos antes de que más atacantes detecten los detalles del día cero para desarrollar e implementar sus propios exploits personalizados dirigidos a iPhones, iPads y Macs vulnerables.
Si bien este error de día cero probablemente solo se usó en ataques dirigidos, se recomienda instalar las actualizaciones de emergencia de hoy lo antes posible para bloquear posibles intentos de ataque.
El mes pasado, Apple también aportó parches de seguridad para una falla de día cero explotable de forma remota descubierta por Clément Lecigne del Threat Analysis Group de Google para iPhones y iPads más antiguos.
Fuente: