Apple

Apple ha implementado actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS y Safari para abordar varias vulnerabilidades de seguridad, incluido un error de día cero explotado activamente en la naturaleza.

Rastreado como CVE-2023-38606 , la deficiencia reside en el kernel y permite que una aplicación maliciosa modifique potencialmente el estado sensible del kernel. La compañía dijo que se abordó con una mejor gestión estatal.

«Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7.1», señaló el gigante tecnológico en su aviso.

Vale la pena señalar que CVE-2023-38606 es la tercera vulnerabilidad de seguridad descubierta en relación con la Operación Triangulación , una sofisticada campaña de ciberespionaje móvil dirigida a dispositivos iOS desde 2019 utilizando una cadena de explotación sin clic. Los otros dos días cero, CVE-2023-32434 y CVE-2023-32435 , fueron parcheados por Apple el mes pasado.

A los investigadores de Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko y Boris Larin se les atribuye el descubrimiento y la notificación de la falla.

Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:

  • iOS 16.6 y iPadOS 16.6 : iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
  • iOS 15.7.8 y iPadOS 15.7.8 : iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1.ª generación), iPad Air 2, iPad mini (4.ª generación) y iPod touch (7.ª generación)
  • macOS Ventura 13.5 , macOS Monterey 12.6.8 y macOS Big Sur 11.7.9
  • tvOS 16.6 – Apple TV 4K (todos los modelos) y Apple TV HD, y
  • watchOS 9.6 – Apple Watch Serie 4 y posterior

Con la última ronda de parches, Apple resolvió un total de 11 días cero que afectaron su software desde principios de 2023. También se produce dos semanas después de que la compañía publicara soluciones de emergencia para un error explotado activamente en WebKit que podría conducir a la ejecución de código arbitrario (CVE-2023-37450).

Fuente y redacción: thehackernews.com

Compartir