Apple bajo ataque: parches de emergencia para todos sus dispositivos

Apple se ha visto obligada a lanzar actualizaciones de emergencia para varios de sus dispositivos, que eran vulnerables a tres fallos de seguridad. Tanto iOS como iPadOS, macOS, tvOS, watchOS y hasta el navegador web Safari han recibido nuevas versiones para abordar tres nuevos fallos que se están explotando.

Aunque menos frecuentes, los fallos de seguridad también suceden en Apple. Esa sensación de invulnerabilidad de la marca de la manzana mordida puede servir para bajar la guardia, pero por suerte los de Cupertino han lanzado actualizaciones de seguridad para corregir tres vulnerabilidades críticas.

Apple en peligro

El fabricante del iPhone ha acreditado a Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google y a Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional por informar de una vulnerabilidad crítica a la que se ha asignado el código CVE-2023-32409. Un investigador anónimo ha sido reconocido por informar los otros dos problemas: CVE-2023-28204 y CVE-2023-32373.

En cuanto al primero, se trata de una vulnerabilidad en WebKit, el motor de navegador que impulsa Safari y todos los navegadores web en iOS y iPadOS, y que podría ser aprovechada por un actor malicioso para salir del entorno limitado del contenido web. Se solucionó con controles de límites mejorados.

CVE-2023-28204 es un problema de lectura fuera de los límites en WebKit que podría explotarse para revelar información confidencial al procesar contenido web. Se solucionó mejorando la validación de entrada.

Por último, CVE-2023-32373 también se basa en una vulnerabilidad en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados. Se solucionó mejorando la gestión de la memoria.

Nuevas actualizaciones de software

Si tienes un dispositivo Apple y te ha saltado una actualización que todavía no has confirmado por desconocer su contenido, la recomendación es que la aceptes.

Las últimas actualizaciones que corrigen estas vulnerabilidades están disponibles para los siguientes dispositivos y sistemas operativos:

iOS 16.5 y iPadOS 16.5: iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
iOS 15.7.6 y iPadOS 15.7.6: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
macOS Ventura 13.4 (12.6.6 o 11.7.7)
tvOS 16.5 – Apple TV 4K (todos los modelos) y Apple TV HD
watchOS 9.5 – Apple Watch Serie 4 y posterior
Safari 16.5: macOS Big Sur y macOS Monterey

Las correcciones para los tres exploits de WebKit no están presentes en las versiones anteriores de macOS, pero la actualización de Safari las tiene. Si las estás ejecutando, actualiza Safari.

Fuente: The Hacker News | adslzone