Antes de finalizar el 2023, Apple lanzó una actualización de emergencia para resolver dos vulnerabilidades de día cero (zero-day) en los iPhone, iPad y Mac. La empresa de Cupertino publicó parches de seguridad para iOS y iPadOS, macOS y Safari que impiden a los atacantes a acceder a tu información.
Las vulnerabilidades CVE-2023-42916 y CVE-2023-42917 fueron descubiertas por Clément Lecigne, investigador de seguridad del Grupo de Análisis de Amenazas de Google (TAG). Ambas se encuentra en el motor del navegador WebKit y facilitan el acceso a información confidencial al navegar en una web infectada. El atacante aprovecha un error de corrupción de memoria para ejecutar código arbitrario.
“El procesamiento de contenido web puede revelar información confidencial. Apple tiene conocimiento de un informe que indica que este problema puede haberse explotado en versiones de iOS anteriores a iOS 16.7.1”, mencionan los de Cupertino en su web. Las actualizaciones solucionan el fallo de lectura con una validación de entrada mejorada, e implementan un bloqueo para parchear el error de corrupción de memoria.
La actualización iOS 17.1.2 está disponible para iPhone XS y modelos superiores, mientras que iPadOS 17.1.2 puede instalarse en los iPad Pro de 12,9 pulgadas (2ª gen en adelante), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1ª gen en adelante), iPad Air (3ª gen en adelante) iPad (6ª gen en adelante) y iPad Mini de 5ª generación y posteriores.
Si eres usuario de alguno de estos dispositivos, actualízalo de inmediato para proteger tu equipo ante estas dos vulnerabilidades. Para conseguirlo, accede a la app de Ajustes en tu iPhone o iPad y dirígete al apartado General. Una vez dentro, toca la sección Actualización de Software, espera la notificación y descarga e instala la nueva versión.
Apple parcha más vulnerabilidades en los iPhone, iPad y macOS
Las actualizaciones para iOS y iPadOS llegan a unas semanas de que Apple lanzara dos parches importantes para resolver vulnerabilidades zero-day.
El 4 de octubre, el equipo de seguridad de la tecnológica solucionó un fallo en el Kernel XNU que permitía a un atacante escalar privilegios en los iPhone y iPad. Para resolverlo, iOS 17.0.3 y iPadOS 17.0.3 agregó controles mejorados y actualizó libvpx 1.13.1 para impedir la ejecución de código a través de un desbordamiento de búfer.
Anteriormente, Google TAG y el Citizen Lab reportaron otros bugs que aprovechaban un exploit en iMessage para ejecutar Pegasus, el software de espionaje del NSO Group. Tras el descubrimiento, el laboratorio de la Universidad de Toronto alertó a Apple y los ayudó a realizar una investigación. La tecnológica ofreció las actualizaciones pertinentes para proteger los dispositivos de las personas.
En lo que va de 2023, Apple ha solucionado más de 20 vulnerabilidades zero-day, algunas de ellas culpables del espionaje a periodistas y activistas de derechos humanos.