Apple solucionó dos fallas de seguridad de alta gravedad que permitían a los actores de amenazas ejecutar código arbitrario en dispositivos vulnerables, permitiéndoles potencialmente robar contenido confidencial o incluso secuestrar todo el dispositivo.
El primero, rastreado como CVE-2023-23514, es un problema Use After Free, que permite a los piratas informáticos ejecutar código arbitrario con privilegios de kernel, que afecta a iPhones 8 y posteriores, todos los modelos de iPad Pro, iPad Air de 3ra generación y más nuevos, iPad de 5ta generación. y posteriores, y dispositivos iPad mini de 5.ª generación y posteriores.
La falla fue descubierta por Xinru Chi de Pangu Lab y Ned Williamson de Google Project Zero y, según los informes, se solucionó con una mejor gestión de la memoria.
Actualización del sistema operativo
La segunda falla, rastreada como CVE-2023-23529, se encontró en WebKit, el motor de navegación de Apple utilizado en su oferta de Safari.
Era un problema de confusión de tipos, solucionado con controles mejorados, como por procesamiento malicioso (se abre en una pestaña nueva) contenido web elaborado, el dispositivo podría terminar permitiendo la ejecución de código arbitrario por parte de terceros, explicó Apple.
La falla, que según Apple fue descubierta por un investigador anónimo, afectó a los iPhone 8 y posteriores, a todos los modelos de iPad Pro, iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y dispositivos posteriores.
Apple confirmó que ambas fallas se están explotando activamente, lo que significa que los piratas informáticos están al tanto de los problemas y los están utilizando para obtener acceso a los dispositivos y robar contenido valioso.
Por lo tanto, es fundamental que los usuarios apliquen las correcciones lo antes posible y actualicen a iOS 16.3.1 y iPadOS 16.3.1.
El motor del navegador de Apple, WebKit, es un vector de ataque popular para los piratas informáticos que buscan violar los dispositivos de Apple, ya que potencialmente permite el acceso al resto de los datos del dispositivo.
En 2022, Apple corrigió nueve errores de iOS que «pueden haber sido explotados activamente», cuatro de los cuales se encontraron en WebKit, informó TechCrunch. De los otros, tres se encontraron en el kernel, uno en AppleAVD y otro en IOMobileFrameBuffer.
Vía: TechCrunch (se abre en una pestaña nueva)