manzana el jueves lanzó actualizaciones de seguridad urgentes para usuarios de iPhone, iPad, Mac, Apple Watch y Safari para corregir tres vulnerabilidades que, según Apple, están siendo explotadas activamente.
Las tres vulnerabilidades incluyen una falla en WebKit, el motor del navegador que impulsa Safari; un error de validación de certificados que puede permitir que se ejecute una aplicación maliciosa en un dispositivo afectado; y un tercer error que puede utilizarse para obtener un acceso más amplio al kernel, el núcleo del sistema operativo. Estas tres vulnerabilidades forman parte de una cadena de explotación, donde los errores se utilizan juntos para obtener acceso al dispositivo de un objetivo.
Las correcciones de errores se producen pocos días después del lanzamiento de iOS 17, que incluye una gama de nuevas funciones de seguridad y privacidad destinadas a limitar el riesgo de ataques cibernéticos, como el software espía.
Por su parte, Apple dijo que solo tiene conocimiento de explotación activa dirigida a usuarios que ejecutan iOS 16.7 y versiones anteriores. Apple trasladó la corrección de errores a iOS 16.7, así como a versiones anteriores de macOS Ventura y Monterey, y watchOS.
Los errores fueron descubiertos por Maddie Stone, investigadora del Threat Analysis Group de Google, que investiga las amenazas respaldadas por el estado, y Bill Marczak de Citizen Lab. En publicaciones de blog publicadas el viernes, tanto Google como Citizen Lab confirmaron que las últimas actualizaciones de Apple tenían como objetivo bloquear un exploit utilizado para colocar el software espía Predator en el teléfono de un candidato presidencial egipcio.
Predator es un software espía, desarrollado por Cytrox, una subsidiaria de Intellexa, que puede robar el contenido del teléfono de una persona cuando está instalado, a menudo mediante mensajes de texto falsos que apuntan a sitios web maliciosos. Tanto Cytrox como Intellexa fueron agregados a una lista de negadores del gobierno de EE. UU. a principios de este año, prohibiendo efectivamente a las empresas estadounidenses hacer negocios con ellos.
Esta es la segunda actualización de seguridad de alto perfil lanzada por Apple este mes. A principios de septiembre, Citizen Lab dijo que descubrió evidencia de una vulnerabilidad de clic cero en un iPhone completamente actualizado (en ese momento) para instalar el software espía Pegasus, desarrollado por NSO Group. El objetivo era una persona que trabajaba para una organización anónima con sede en Washington.
La vulnerabilidad se utilizó como parte de una cadena de exploits que Citizen Lab denominó BLASTPASS, porque involucraba PassKit, un marco que permite a los desarrolladores incluir Apple Pay en sus aplicaciones.
Marczak, que habló en TechCrunch Disrupt el jueves, dijo que esta vulnerabilidad fue el resultado de un intento fallido de piratear el dispositivo de esta víctima con sede en EE. UU.
«Debido a que este intento falló, los restos de este exploit sin clic quedaron en el teléfono», dijo Marczak. “En este caso, la raíz de la vulnerabilidad fue un error en la biblioteca de imágenes WebP de Google, que está integrada en el iPhone. Los atacantes encontraron alguna forma de explotar esto para ejecutar código arbitrario dentro del entorno limitado de iMessage de Apple para instalar software espía en el sistema”.
Actualice sus dispositivos hoy.