Editor Top
El jueves, Apple lanzó una serie de actualizaciones que traen algunas características nuevas al iPhone y Mac. Pero lo que es mucho más importante, las actualizaciones incluyen tres parches críticos de día cero para las vulnerabilidades de seguridad que se sabe que han sido explotadas activamente.
Las fallas de WebKit abarcan la familia de dispositivos de Apple y se han parcheado en iOS 16.5, iPadOS 16.5, watchOS 9.5, macOS 13.4 y tcOS 16.5, pero también en iOS/iPadOS 15.7.6, macOS Monterey 12.6.6 y macOS Big Sur 11.7. 7, así como Safari 16.5. Todas las actualizaciones incluyen las mismas cinco correcciones de WebKit, y se sabe que tres de ellas han sido explotadas:
WebKit
- Impacto: El procesamiento de contenido web puede revelar información confidencial
- Descripción: Se solucionó una lectura fuera de los límites con una validación de entrada mejorada.
- WebKit Bugzilla: 255075
CVE-2023-32402: un investigador anonimo
WebKit
- Impacto: el procesamiento de contenido web puede revelar información confidencial
- Descripción: Se solucionó un problema de desbordamiento de búfer mejorando el manejo de la memoria.
- WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
- Impacto: Un atacante remoto puede salir del entorno limitado de contenido web. Apple está al tanto de un informe de que este problema puede haber sido explotado activamente.
- Descripción: El problema se solucionó con controles de límites mejorados.
- WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne del Grupo de Análisis de Amenazas de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional
WebKit
- Impacto: El procesamiento de contenido web puede revelar información confidencial. Apple está al tanto de un informe de que este problema puede haber sido explotado activamente.
- Descripción: Se solucionó una lectura fuera de los límites con una validación de entrada mejorada.
- WebKit Bugzilla: 254930
CVE-2023-28204: un investigador anonimo
WebKit
- Impacto: El procesamiento de contenido web creado con fines malintencionados puede dar lugar a la ejecución de código arbitrario. Apple está al tanto de un informe de que este problema puede haber sido explotado activamente.
- Descripción: Se solucionó un problema de uso después de la liberación mejorando la administración de la memoria.
- WebKit Bugzilla: 254840
CVE-2023-32373: un investigador anonimo
Dos de las tres fallas de día cero, CVE-2023-28204 y CVE-2023-32373, se parchearon previamente como parte de las primeras actualizaciones de respuesta rápida de seguridad de Apple para iOS y iPadOS (16.4.1 (a)) y macOS Ventura (13.3. 1 (a)).
Para actualizar su iPhone o iPad, vaya a la aplicación Configuración, luego General y Actualización de software. En una Mac, vaya a Configuración del sistema, luego General y Actualización de software; en Macs anteriores a Ventura, busque la aplicación Preferencias del Sistema, luego Actualización de software.
