Apple lanza actualizaciones de emergencia para abordar las vulnerabilidades de día cero

Apple lanzó esta semana actualizaciones de seguridad urgentes para abordar las vulnerabilidades de día cero en modelos anteriores de iPhone, iPad y iPod.

Los parches, lanzados el miércoles, abordan un problema de escritura fuera de los límites que podría ser explotado por un atacante que les permitiera tomar el control del dispositivo afectado. La Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA) alentó hoy a los usuarios y administradores de TI a revisar el aviso de Apple. HT213428 y aplicar las actualizaciones necesarias.

Apple no respondió de inmediato a una solicitud de comentarios sobre si las vulnerabilidades habían llamado su atención a través de explotaciones activas, pero su actualización de seguridad decía: «Apple está al tanto de un informe de que este problema puede haber sido explotado activamente».

Los defectos del software se enumeran en la base de datos de vulnerabilidades y exposiciones comunes (CVE)un sistema financiado por una división del Departamento de Seguridad Nacional de EE. UU. (DHS) para garantizar la divulgación pública de vulnerabilidades y exposiciones de seguridad.

“El problema es que si una página web se construye de cierta manera, puede hacer que el código se ejecute en el dispositivo fuera de la contención normal y crear una situación de malware en el dispositivo que podría comprometer los datos, los contactos, la ubicación, insertar contenido malicioso. SW, etc.”, dijo Jack Gold, analista principal de J. Gold Associates, LLC.

“Así que es un gran problema”, agregó.

Las vulnerabilidades afectan al iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6.ª generación) y ordenadores con versiones anteriores de macOS.

El hecho de que el problema afecte a ese grupo de dispositivos más antiguo, y no a los modelos más nuevos, significa que hay relativamente pocos dispositivos en riesgo, señaló Gold. Aun así, dijo, cualquiera que tenga uno de los dispositivos más antiguos debería actualizarlo lo antes posible.

Si bien un parche ofrecido para dispositivos más antiguos puede parecer poco importante, a los ciberdelincuentes les gusta especialmente la tecnología más antigua sin parches, especialmente si la vulnerabilidad les otorga un control total y la capacidad de obtener acceso a otros sistemas y servicios.

“Un atacante podría atraer a una víctima potencial a un sitio web especialmente diseñado o usar publicidad maliciosa para comprometer un sistema vulnerable al explotar esta vulnerabilidad”, dijo Malwarebytes. en una entrada de blog Este Dia. “Dado que la vulnerabilidad existe en el software de renderizado HTML de Apple (WebKit). WebKit funciona con todos los navegadores web de iOS y Safari, por lo que los posibles objetivos son los iPhone, iPad y Mac, que podrían ser engañados para ejecutar código no autorizado”.

El problema se solucionó en iOS 15.6.1, iPadOS 15.6.1 y macOS Monterey 12.5.1. Apple anima a los usuarios a actualizar a las últimas versiones de su software.