Apple advierte sobre 3 vulnerabilidades de seguridad de día cero de iOS explotadas en la naturaleza

Vulnerabilidades de seguridad de día cero de iOS

Apple lanzó el martes actualizaciones para iOS, iPadOS y tvOS con correcciones para tres vulnerabilidades de seguridad que, según dice, pueden haber sido explotadas activamente en la naturaleza.

Según lo informado por un investigador anónimo, las tres fallas de día cero (CVE-2021-1782, CVE-2021-1870 y CVE-2021-1871) podrían haber permitido a un atacante elevar los privilegios y lograr la ejecución remota de código.

El fabricante del iPhone no reveló qué tan extendido fue el ataque ni reveló las identidades de los atacantes que los explotan activamente.

Si bien el error de escalada de privilegios en el kernel (CVE-2021-1782) se señaló como una condición de carrera que podría causar que una aplicación maliciosa eleve sus privilegios, las otras dos deficiencias, denominadas «problema de lógica», se descubrieron en el navegador WebKit. motor (CVE-2021-1870 y CVE-2021-1871), lo que permite a un atacante lograr la ejecución de código arbitrario dentro de Safari.

Apple dijo que la condición de carrera y las fallas de WebKit se abordaron con bloqueo y restricciones mejorados, respectivamente.

Si bien es poco probable que se hagan públicos los detalles exactos del exploit que aprovecha las fallas hasta que los parches se hayan aplicado ampliamente, no sería una sorpresa si se encadenaran para llevar a cabo ataques de pozo de agua contra objetivos potenciales.

Tal ataque implicaría entregar el código malicioso simplemente visitando un sitio web comprometido que luego aprovecha las vulnerabilidades antes mencionadas para escalar sus privilegios y ejecutar comandos arbitrarios para tomar el control del dispositivo.

Las actualizaciones ahora están disponibles para iPhone 6s y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores, y iPod touch (séptima generación), así como Apple TV 4K y Apple TV HD.

La noticia de los últimos días cero se produce después de que la compañía resolviera tres vulnerabilidades explotadas activamente en noviembre de 2020 y un error de día cero separado en iOS 13.5.1 que se reveló como utilizado en una campaña de ciberespionaje dirigida a los periodistas de Al Jazeera el año pasado.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática