Los investigadores del Grupo de Análisis de Amenazas de Google han estado más ocupados que nunca con los descubrimientos que han llevado a la revelación de tres vulnerabilidades de día cero de alta gravedad bajo explotación activa en los sistemas operativos Apple y el navegador Chrome en el lapso de 48 horas.
Apple dijo el jueves que estaba lanzando actualizaciones de seguridad que solucionaban dos vulnerabilidades presentes en iOS, macOS y iPadOS. Ambos residen en WebKit, el motor que impulsa Safari y una amplia gama de otras aplicaciones, incluidas Apple Mail, App Store y todos los navegadores que se ejecutan en iPhones y iPads. Si bien la actualización se aplica a todas las versiones compatibles de los sistemas operativos Apple, la divulgación del jueves sugirió que los ataques en estado salvaje que explotan las vulnerabilidades se dirigieron a versiones anteriores de iOS.
«Apple tiene conocimiento de un informe de que este problema puede haber sido explotado en versiones de iOS anteriores a iOS 16.7.1», escribieron funcionarios de Apple sobre ambas vulnerabilidades, que se rastrean como CVE-2023-42916 y CVE-2023-42917.
CVE-2023-42916 es una lectura fuera de límites que permite a los piratas informáticos obtener información confidencial cuando las aplicaciones basadas en WebKit procesan contenido en línea especialmente diseñado. CVE-2023-42917 es una falla de corrupción de memoria que hace que los dispositivos vulnerables ejecuten código malicioso al procesar contenido creado por piratas informáticos para una aplicación WebKit. Apple le dio crédito a Clément Lecigne de TAG por el descubrimiento de ambas vulnerabilidades. Ni Apple ni Google proporcionaron detalles sobre los ataques de día cero.
El martes, Google dijo que estaba lanzando una actualización que solucionaba siete vulnerabilidades de Chrome, una de las cuales era de día cero, lo que significa que Google se enteró de ello después de que los exploits ya estuvieran disponibles en el mercado. Google no proporcionó detalles adicionales relacionados con el día cero.
El error, identificado como CVE-2023-6345, se debe a un desbordamiento de enteros, una clase común de vulnerabilidad que permite a los piratas informáticos ejecutar código malicioso cuando los objetivos procesan contenido especialmente diseñado. La vulnerabilidad reside en el componente Skia del navegador. Google le dio crédito a Benoît Sevens y Clément Lecigne de TAG por informar sobre la vulnerabilidad.
Tanto las actualizaciones de Apple como las de Google se envían automáticamente a los dispositivos afectados. Las actualizaciones se instalan cuando los usuarios reinician su dispositivo o reinician su navegador. Es probable que los usuarios reciban notificaciones si pasa suficiente tiempo sin reiniciar. Los usuarios de iOS, macOS y iPadOS pueden instalar actualizaciones manualmente accediendo a la configuración del sistema y seleccionando la pestaña General. Para instalar manualmente la actualización de Chrome, elija los tres puntos verticales en la parte superior derecha de la ventana y elija actualizar.