Apple lanzó el lunes actualizaciones de seguridad para iOS , macOS y watchOS para abordar tres fallas de día cero y expandir parches para una cuarta vulnerabilidad que, según la compañía, podría haber sido explotada en la naturaleza.

Todas las debilidades conciernen a WebKit, el motor del navegador que impulsa a Safari y otros navegadores web de terceros en iOS, lo que permite a un adversario ejecutar código arbitrario en los dispositivos de destino. Un resumen de los tres errores de seguridad es el siguiente:

  • CVE-2021-30663: una vulnerabilidad de desbordamiento de enteros que podría explotarse para crear contenido web malicioso, lo que puede provocar la ejecución de código. La falla se solucionó mejorando la validación de entrada.
  • CVE-2021-30665: un problema de corrupción de la memoria que podría explotarse para crear contenido web malicioso, lo que puede provocar la ejecución de código. La falla se solucionó mejorando la gestión estatal.
  • CVE-2021-30666: una vulnerabilidad de desbordamiento de búfer que podría explotarse para crear contenido web malicioso, lo que puede provocar la ejecución de código. La falla se solucionó mejorando el manejo de la memoria.

El desarrollo se produce una semana después de que Apple lanzara iOS 14.5 y macOS Big Sur 11.3 con una solución para una vulnerabilidad de almacenamiento WebKit potencialmente explotada. Rastreado como CVE-2021-30661 , un investigador de seguridad llamado yangkang ( @dnpushme ) de Qihoo 360 ATA descubrió e informó al fabricante del iPhone como CVE-2021-30661 .

yangkang, junto con zerokeeper y bianliang, han sido acreditados por informar de los tres nuevos defectos.

Vale la pena señalar que CVE-2021-30666 solo afecta a los dispositivos Apple más antiguos, como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación). La actualización de iOS 12.5.3 , que corrige esta falla, también incluye una solución para CVE-2021-30661.

La compañía dijo que está al tanto de los informes de que los problemas «pueden haber sido explotados activamente» pero, como suele ser el caso, no dio más detalles sobre la naturaleza de los ataques, las víctimas que pueden haber sido atacadas o los actores de amenazas que pueden estar abusando. ellos.

Se recomienda a los usuarios de dispositivos Apple que actualicen a las últimas versiones para mitigar el riesgo asociado con las fallas.

Fuente y redacción: thehackernews.com

Compartir