Language
Apple parchea errores de seguridad explotados en el kernel y Webkit • The Register
HogarHogar > Noticias > Apple parchea errores de seguridad explotados en el kernel y Webkit • The Register
ÚLTIMAS NOTICIAS

Apple parchea errores de seguridad explotados en el kernel y Webkit • The Register

Jul 15, 2023

Apple ha publicado correcciones para varias fallas de seguridad que afectan a sus iPhones, iPads, computadoras macOS y Apple TV y relojes, y advirtió que algunos de estos errores ya han sido explotados.

Aquí hay una lista rápida de todas las actualizaciones de seguridad publicadas el lunes por la tarde:

El martes, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de EE. UU. también hizo sonar la alarma, advirtiendo que "un atacante podría explotar algunas de estas vulnerabilidades para tomar el control de un dispositivo afectado". CISA instó a los usuarios y administradores a aplicar las actualizaciones de software y verificar que los sistemas de parches automáticos funcionen correctamente. Apoyamos esa opinión.

Uno de los errores, CVE-2023-32409, en el motor del navegador WebKit de Apple afecta al iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación). Este fue descubierto por Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional.

"Un atacante remoto podría escapar del entorno limitado de contenido web", según el aviso de iGiant. "Apple está al tanto de un informe que indica que este problema puede haber sido explotado activamente".

Apple dice que solucionó el problema mejorando las comprobaciones de límites. Y aunque el gigante tecnológico nunca proporciona detalles sobre cómo se abusó de la vulnerabilidad o por quién, los cazadores de errores que detectaron el software desagradable parecerían indicar que se está utilizando para implementar software espía en los dispositivos de las víctimas.

TAG rastrea a más de 30 fabricantes comerciales de software espía que venden exploits y software de vigilancia. Los periodistas, activistas y disidentes políticos tienden a ser el objetivo del snoopware, que Amnistía tiene gran interés en analizar.

En este mismo lote de actualizaciones de seguridad, Apple dijo que solucionó un error a nivel de kernel, CVE-2023-38606, para: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2. , iPad mini (cuarta generación) y iPod touch (séptima generación). Al parecer, es probable que ese defecto haya sido explotado en la naturaleza.

"Una aplicación puede modificar el estado sensible del núcleo", advirtió el fabricante del iPhone. "Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente en versiones de iOS lanzadas antes de iOS 15.7.1".

Apple le da crédito a los investigadores de Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko y Boris Larin por encontrar este error, que se parece a la vulnerabilidad del kernel utilizada para infectar iPhones con software espía TriangleDB, también descubierta por el equipo antes mencionado.

Este último error del kernel, CVE-2023-38606, también afecta a varios otros productos Apple, incluidos Mac con macOS Ventura, Monterey y Big Sur, Apple Watch Series 4 y posteriores, Apple TV 4K (todos los modelos) y Apple TV. HD.

Se nos dice que otra vulnerabilidad en WebKit, en tvOS 16, watchOS 9.6, macOS Ventura, iOS 16 y iPadOS 16, rastreada como CVE-2023-37450, también puede haber sido explotada antes de que Apple lanzara parches. La falla, reportada por un investigador anónimo, ocurre durante el procesamiento de contenido web, lo que puede conducir a la ejecución de código arbitrario. Los parches están disponibles para todos los modelos de Apple TV 4K, cajas Apple TV HD, Apple Watch Series 4 y posteriores, y Mac con Ventura.

Anteriormente, Apple solucionó este mismo problema en algunos iPhones y iPads mediante una "respuesta de seguridad rápida" en iOS 16.5.1 (c) y iPadOS 16.5.1 (c). Estos son el nuevo tipo de parches que Apple comenzó a implementar en mayo, con resultados mixtos.

Se supone que los parches deben descargarse y aplicarse automáticamente para proteger inmediatamente los dispositivos contra la explotación, evitando así el ciclo habitual de actualización del sistema que los usuarios pueden posponer o perder y, por lo tanto, dejar su kit vulnerable. ®

Envíanos noticias

1313Obtén nuestro13