Apple lanzó hoy una importante actualización de seguridad para tres de sus dispositivos: iPad, iPhone y Mac para parchear dos vulnerabilidades críticas de día cero en ellos.
Mientras que uno está infestado en el núcleo del sistema operativo, el otro se encontró en WebKit de Apple, utilizado por Safari como motor de navegación. Dado que estas dos herramientas son fundamentales para los dispositivos de Apple y funcionan con todos los privilegios, constituyen un daño mayor si no se reparan. Apple también ha notado una exploración activa de estos errores incluso antes de que se publique el parche.
Vulnerabilidades de seguridad en dispositivos Apple
Los errores de día cero son algo que el OEM no ha reconocido ni publicado un parche antes de que los piratas informáticos los detectaran y comenzaran a explotarlos. Se denominan problemas graves, ya que a veces otorgan privilegios completos a los atacantes, y las víctimas no pueden hacer nada más que observar hasta que llega un parche formal del OEM.
Uno de esos casos ha afectado al ecosistema de Apple, donde se detectan dos vulnerabilidades de día cero en iPhones, iPads y Macs, que permiten a los atacantes tomar el control del sistema de destino y ejecutarlo con todos los privilegios. El primero es rastreado como CVE-2022-32894 y es una vulnerabilidad de escritura fuera de los límites en el kernel del sistema operativo.
Mientras que el segundo es rastreado como CVE-2022-32893 y es una vulnerabilidad de escritura fuera de los límites en WebKit, un motor de navegador web utilizado por Safari de Apple y otras aplicaciones para acceder a la web. Esto podría permitir al atacante realizar la ejecución remota de código y hacer que el objetivo visite un sitio web creado con fines malintencionados.
Y dado que otorgan a los atacantes el nivel de privilegio más alto, les permiten hacer cualquier cosa con él. A continuación se muestran los dispositivos Apple afectados por estos dos errores;
- Mac con macOS Monterey
- iPhone 6s y posteriores
- iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores y iPod touch (7.ª generación).
Para protegerlos, Apple lanzó macOS Monterey 12.5.1, iOS 15.6.1 y iPadOS 15.6.1 para resolver las dos vulnerabilidades de día cero en estos dispositivos. Aunque Apple reveló explotaciones activas de estos dos errores, no compartió más detalles sobre ese tema.
