Apple advierte sobre 3 vulnerabilidades de seguridad de día cero de iOS explotadas en la naturaleza

Noticias 19 de febrero de 2022

Vulnerabilidades de seguridad de día cero de iOS

Apple lanzó el martes actualizaciones para iOS, iPadOS y tvOS con correcciones para tres vulnerabilidades de seguridad que, según dice, pueden haber sido explotadas activamente en la naturaleza.

Según lo informado por un investigador anónimo, las tres fallas de día cero (CVE-2021-1782, CVE-2021-1870 y CVE-2021-1871) podrían haber permitido a un atacante elevar los privilegios y lograr la ejecución remota de código.

El fabricante del iPhone no reveló qué tan extendido fue el ataque ni reveló las identidades de los atacantes que los explotan activamente.

Si bien el error de escalada de privilegios en el kernel (CVE-2021-1782) se señaló como una condición de carrera que podría causar que una aplicación maliciosa eleve sus privilegios, las otras dos deficiencias, denominadas «problema de lógica», se descubrieron en el navegador WebKit. motor (CVE-2021-1870 y CVE-2021-1871), lo que permite a un atacante lograr la ejecución de código arbitrario dentro de Safari.

Apple dijo que la condición de carrera y las fallas de WebKit se abordaron con bloqueo y restricciones mejorados, respectivamente.

Si bien es poco probable que se hagan públicos los detalles exactos del exploit que aprovecha las fallas hasta que los parches se hayan aplicado ampliamente, no sería una sorpresa si se encadenaran para llevar a cabo ataques de pozo de agua contra objetivos potenciales.

Tal ataque implicaría entregar el código malicioso simplemente visitando un sitio web comprometido que luego aprovecha las vulnerabilidades antes mencionadas para escalar sus privilegios y ejecutar comandos arbitrarios para tomar el control del dispositivo.

Las actualizaciones ahora están disponibles para iPhone 6s y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores, y iPod touch (séptima generación), así como Apple TV 4K y Apple TV HD.

La noticia de los últimos días cero se produce después de que la compañía resolviera tres vulnerabilidades explotadas activamente en noviembre de 2020 y un error de día cero separado en iOS 13.5.1 que se reveló como utilizado en una campaña de ciberespionaje dirigida a los periodistas de Al Jazeera el año pasado.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *