La compañía Apple acaba de lanzar una serie de actualizaciones de seguridad para sus sistemas operativos iOS, iPadOS, macOS y hasta para su navegador Safari en donde aborda problemas de seguridad de día cero que actualmente están siendo explotados.
Para los usuarios que no lo sepan, las fallas de día cero (o «día 0») son vulnerabilidades de seguridad en software, sistemas operativos o aplicaciones que son desconocidas para los proveedores de dichos productos. Esto significa que los desarrolladores no han tenido tiempo para corregir las vulnerabilidades antes de que sean descubiertas y explotadas por los atacantes. Las fallas de día cero son particularmente peligrosas porque los atacantes pueden usarlas para ejecutar código malicioso en un sistema sin ser detectados, lo que puede llevar a la toma de control de la máquina o al robo de información confidencial.
Apple lanza actualizaciones para solucionar los problemas de seguridad en sus dispositivos
Según la información publicada por la compañía, existen dos vulnerabilidades importantes que afectan a los productos de Apple:
- CVE-2023-28205: se trata de un problema de uso después de liberación en WebKit, que podría permitir la ejecución de código malicioso al procesar contenido web especialmente diseñado.
- CVE-2023-28206: es un problema de escritura fuera de límites en IOSurfaceAccelerator, que podría permitir que una aplicación ejecute código malicioso con privilegios de kernel.
Los Cupertinos han informado que ha solucionado la vulnerabilidad CVE-2023-28205 con una gestión de memoria mejorada, y ha abordado el segundo problema con una mejor validación de entrada. La empresa ha reconocido que es consciente de que estos errores pueden haber sido explotados activamente.
El descubrimiento y la denuncia de las dos vulnerabilidades han sido atribuidos a Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, y a Donncha Ó Cearbhaill, del Laboratorio de Seguridad de Amnistía Internacional.
Dado que estas vulnerabilidades estaban siendo explotadas activamente y para prevenir que más actores malintencionados abusen de ellas, se ha retenido información detallada sobre las mismas.
Las actualizaciones para solucionar estas vulnerabilidades están disponibles en la versión iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 y Safari 16.4.1. Las correcciones abarcan una amplia gama de dispositivos, incluyendo el iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores, así como también Mac con macOS Big Sur, Monterey y Ventura.
Cabe destacar que esta no es la primera vez que Apple parchea una vulnerabilidad crítica. Desde principios de año, la empresa ha abordado tres días cero, incluyendo el CVE-2023-23529 en WebKit, que fue explotado activamente en febrero y podría resultar en la ejecución de código arbitrario.
Además, el Grupo de Análisis de Amenazas (TAG) de Google ha revelado que los proveedores comerciales de software espía están aprovechando días cero en Android e iOS para infectar dispositivos móviles con malware de vigilancia, lo que destaca la importancia de mantener los dispositivos actualizados con los últimos parches de seguridad.
Apple amplia las actualizaciones de software para dispositivos más antiguos
El 10 de abril de 2023, Apple amplió sus parches de seguridad para incluir dispositivos más antiguos, a fin de protegerlos de las dos vulnerabilidades que estaban siendo explotadas activamente. Las actualizaciones están disponibles para los siguientes dispositivos:
- iOS 15.7.5 y iPadOS 15.7.5: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación).
- macOS Big Sur 11.7.6 y Monterey 12.6.5 (cabe señalar que la actualización solo aborda CVE-2023-28206).
Las actualizaciones ya se encuentran disponibles, por lo tanto, te recomendamos instalarla y así tu dispositivo se mantenga a salvo de cualquier ataque.
