El lunes, Apple anunció el lanzamiento de iOS 16.6 y iPadOS 16.6. iOS 16.6 llega solo 28 días después de iOS 16.5, una iteración que se destaca por sus mejoras en la aplicación Apple News. La última actualización soluciona más de una docena de fallos de seguridad, incluidas dos vulnerabilidades explotadas activamente. Al mismo tiempo, el gigante tecnológico con sede en Cupertino lanzó macOS 13.5 Ventura para abordar los mismos problemas de seguridad.
Qué se aborda en iOS y iPadOS 16.6
Según las notas de la versión de Apple, la actualización sirve para rectificar un total de 16 problemas relacionados con la seguridad. Esta colección de fallas resueltas abarca una variedad de categorías, incluido el kernel, Find My, WebKit y Apple Neural Engine.
Apple ha reconocido que dos de estos defectos eran probablemente objetivos de explotación activa. El parche inicial se proporcionó de inmediato para solucionar el problema de WebKit comprometido a través de Rapid Security Response iOS 16.5.1 (c). La falla del kernel, otra víctima potencial de la explotación activa, probablemente vio su resolución inicial a través de iOS 15.7.1. Sin embargo, es importante tener en cuenta que Apple también resolvió ambos problemas en iOS 16.6.
Las dos vulnerabilidades de seguridad explotadas activamente incluyen un error del kernel y un problema con WebKit, el motor que impulsa todos los navegadores web en iOS y iPadOS.
Núcleo
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: Es posible que una aplicación pueda modificar el estado sensible del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente en versiones de iOS lanzadas antes de iOS 15.7.1.
Descripción: Este tema se abordó con una mejor gestión estatal.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr)) y Boris Larin (@oct0xor) de Kaspersky
kit web
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: El procesamiento de contenido web puede provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.
Descripción: El problema se solucionó con controles mejorados.
WebKit Bugzilla: 259231
CVE-2023-37450: un investigador anónimo
Este problema se solucionó por primera vez en Rapid Security Response iOS 16.5.1 (c) y iPadOS 16.5.1 (c).
16 parches incluidos en los últimos iOS y iPadOS 16.6
Aquí están los detalles de seguridad completos para los 16 parches que vienen con iOS 16.6:
Motor neuronal de Apple
Disponible para Dispositivos con Apple Neural Engine: iPhone 8 y posteriores, iPad Pro (tercera generación) y posteriores, iPad Air (tercera generación) y posteriores, y iPad mini (quinta generación)
Impacto: una aplicación puede ejecutar código arbitrario con privilegios del kernel
Descripción: El problema se solucionó mejorando el manejo de la memoria.
CVE-2023-38136: Mohamed GHANNAM (@simo36)
CVE-2023-38580: Mohamed GHANNAM (@simo36)
Encuentrame
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: Es posible que una aplicación pueda leer información confidencial de ubicación
Descripción: Se solucionó un problema de lógica con restricciones mejoradas.
CVE-2023-32416: Wojciech Regula de SecuRing (wojciechregula.blog)
Núcleo
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: una aplicación puede ejecutar código arbitrario con privilegios del kernel
Descripción: El problema se solucionó mejorando el manejo de la memoria.
CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Limitado. Limitado.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs SG Pte. Limitado.
CVE-2023-38261: un investigador anónimo
CVE-2023-38424: Equipo Certik Skyfall
CVE-2023-38425: Equipo Certik Skyfall
Núcleo
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: Es posible que una aplicación pueda modificar el estado sensible del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente en versiones de iOS lanzadas antes de iOS 15.7.1.
Descripción: Este tema se abordó con una mejor gestión estatal.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr)) y Boris Larin (@oct0xor) de Kaspersky
Núcleo
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: una aplicación puede ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionó un problema de uso después de la liberación con una gestión de memoria mejorada.
CVE-2023-32381: un investigador anónimo
CVE-2023-32433: Zweig del laboratorio Kunlun
CVE-2023-35993: Kaitao Xie y Xiaolong Bai del Grupo Alibaba
Núcleo
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: un usuario puede elevar sus privilegios
Descripción: El problema se solucionó con controles mejorados.
CVE-2023-38410: un investigador anónimo
Núcleo
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: Un usuario remoto puede provocar una denegación de servicio
Descripción: El problema se solucionó con controles mejorados.
CVE-2023-38603: Zweig del laboratorio Kunlun
libxpc
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: una aplicación puede obtener privilegios de root
Descripción: Se solucionó un problema de manejo de rutas con una validación mejorada.
CVE-2023-38565: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: una aplicación puede provocar una denegación de servicio
Descripción: Se solucionó un problema de lógica con controles mejorados.
CVE-2023-38593: Noah Roskin-Frazee
NSURLSesión
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: Es posible que una aplicación pueda salir de su zona de pruebas.
Descripción: El problema se solucionó con mejoras en el protocolo de manejo de archivos.
CVE-2023-32437: Thijs Alkemade del Sector Computest 7
kit web
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: Es posible que un sitio web pueda eludir la política del mismo origen.
Descripción: El problema se solucionó con controles mejorados.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) de Suma Soft Pvt. Limitado. Ltd, Pune – India
kit web
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: El procesamiento de contenido web puede provocar la ejecución de código arbitrario.
Descripción: El problema se solucionó con controles mejorados.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Bugzilla: 256573
CVE-2023-38595: un investigador anónimo, Jiming Wang y Jikai Ren
WebKit Bugzilla: 257387
CVE-2023-38600: Anónimo trabajando con la iniciativa Zero Day de Trend Micro
kit web
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: El procesamiento de contenido web puede provocar la ejecución de código arbitrario.
Descripción: El problema se solucionó mejorando el manejo de la memoria.
WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)
kit web
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: El procesamiento de contenido web puede provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.
Descripción: El problema se solucionó con controles mejorados.
WebKit Bugzilla: 259231
CVE-2023-37450: un investigador anónimo
Este problema se solucionó por primera vez en Rapid Security Response iOS 16.5.1 (c) y iPadOS 16.5.1 (c).
Modelo de proceso WebKit
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: El procesamiento de contenido web puede provocar la ejecución de código arbitrario.
Descripción: El problema se solucionó con controles mejorados.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성 (Junsung Lee) de Cross Republic
Inspector web de WebKit
Disponible para: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Impacto: El procesamiento de contenido web puede revelar información confidencial
Descripción: El problema se solucionó con controles mejorados.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Instalación de la actualización de iOS y iPadOS 16.6
Para instalar la actualización de iOS y iPadOS 16.6, siga estas instrucciones.
- Abre el Ajustes aplicación.
- Ir a General > Actualización de software.
- Toque para instalar la actualización, ingresando el código de acceso de su dispositivo cuando se le solicite.
Apple ha proporcionado una actualización auxiliar, iOS 15.7.8, para aquellos usuarios que no pueden realizar la transición a iOS 16.
A medida que el enfoque en iOS 16 comienza a disminuir con la disponibilidad de iOS 17 para pruebas beta y su próximo lanzamiento en septiembre, junto con nuevos modelos de iPhone, es evidente que la búsqueda incesante de la perfección por parte de Apple es inquebrantable.