Home Sociedad Apple corrige un nuevo día cero de WebKit explotado para piratear iPhones...

Apple corrige un nuevo día cero de WebKit explotado para piratear iPhones y Macs

Apple ha publicado actualizaciones de seguridad de emergencia para solucionar una nueva vulnerabilidad de día cero utilizada en ataques para piratear iPhones, iPads y Macs.

El día cero parcheado, en esta oportunidad, es rastreado como CVE-2023-23529 [1, 2] y es un problema de confusión WebKit que podría ser explotado para desencadenar bloqueos del sistema operativo y obtener la ejecución de código en dispositivos comprometidos.

Una explotación exitosa permite a los atacantes ejecutar código arbitrario en dispositivos que ejecutan versiones vulnerables de iOS, iPadOS y macOS después de abrir una página web maliciosa.

Apple abordó CVE-2023-23529 con comprobaciones mejoradas en iOS 16.3.1, iPadOS 16.3.1 y macOS Ventura 13.2.1.

La lista completa de dispositivos impactados es bastante extensa, ya que el fallo afecta a modelos más antiguos y más recientes, e incluye:

iPad Pro (todos los modelos), iPad Air de 3ª generación y posteriores, iPad de 5ª generación y posteriores, y iPad mini de 5ª generación y posteriores

Macs con macOS Ventura 13.2.1

Apple también ha parcheado un fallo kernel use after free (CVE-2023-23514) reportado por Xinru Chi de Pangu Lab y Ned Williamson de Google Project Zero que podría llevar a código arbitrario con privilegios del kernel en Macs y iPhones.

Aunque la compañía ha revelado que está al tanto de los informes de exploits in-the-wild, aún no ha publicado información relativa a estos ataques.

Al restringir el acceso a esta información, es probable que Apple quiera permitir que el mayor número posible de usuarios actualice sus dispositivos antes de que más atacantes aprovechen los detalles del día cero para desarrollar y desplegar sus propios exploits personalizados dirigidos a iPhones, iPads y Mac vulnerables.

Aunque es probable que este fallo de día cero sólo se haya utilizado en ataques selectivos, se recomienda encarecidamente instalar las actualizaciones de emergencia de hoy lo antes posible para bloquear posibles intentos de ataque.