Los trabajadores del gobierno de EE. UU. que poseen dispositivos Apple tienen hasta el 1 de mayo para aplicar el último parche y proteger sus puntos finales de posibles compromisos.
BleepingComputer informó recientemente que la Agencia de Infraestructura y Seguridad Cibernética (CISA, por sus siglas en inglés) ordenó a las agencias federales que aplicaran un parche que corrige CVE-2023-28206 y CVE-2023-28205 para iPhones, computadoras Mac y dispositivos iPad.
Supuestamente, las fallas se están explotando activamente en la naturaleza, para dar a los actores de amenazas acceso total a los dispositivos de destino. «Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», dijo el gigante de Cupertino en un aviso publicado con las correcciones.
Muchos dispositivos afectados
Una es una vulnerabilidad de escritura fuera de los límites de IOSurface que permitió a los actores de amenazas corromper datos, bloquear aplicaciones y dispositivos y ejecutar código de forma remota. El peor de los casos es que un actor de amenazas podría impulsar un malicioso (se abre en una pestaña nueva) app que les permite ejecutar código arbitrario con privilegios de kernel en el dispositivo.
El otro es un WebKit con consecuencias similares: corrupción de datos y ejecución de código arbitrario a través de la visita de una víctima a un sitio web malicioso, lo que resulta en la ejecución remota de código.
Las fallas se solucionaron en el lanzamiento de iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 y Safari 16.4.1, por lo que si le preocupan estas vulnerabilidades, asegúrese de llevar sus sistemas a la última versión. lo antes posible.
Apple publicó una lista de hardware vulnerable, que incluía todos los dispositivos iPad Pros y macOS Ventura, así como dispositivos iPad, iPad Mini y iPad Air, los dos primeros a partir de la 5.ª generación y el último a partir de la 3.ª generación. Los teléfonos inteligentes desde el iPhone 8 en adelante también se ven afectados.
La compañía dijo que estaba al tanto de los actores de amenazas que abusan de los días cero en la naturaleza, pero no discutió los detalles. Los medios de comunicación especulan que los atacantes podrían estar patrocinados por el estado, dado que las fallas fueron descubiertas por investigadores que generalmente buscaban jugadores patrocinados por el gobierno.
Los investigadores que encontraron las fallas son Clément Lecigne del Grupo de Análisis de Amenazas de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional. Aparentemente, las fallas se estaban utilizando como parte de una cadena de explotación.
Vía: BleepingComputer (se abre en una pestaña nueva)