Apple lanza parches de seguridad urgentes para errores de día cero bajo ataques activos

Apple lanzó el lunes actualizaciones de seguridad para iOS, macOS y watchOS para abordar tres fallas de día cero y expandir los parches para una cuarta vulnerabilidad que, según la compañía, podría haber sido explotada en la naturaleza.

Todas las debilidades se refieren a WebKit, el motor del navegador que alimenta Safari y otros navegadores web de terceros en iOS, lo que permite que un adversario ejecute código arbitrario en los dispositivos de destino. Un resumen de los tres errores de seguridad es el siguiente:

  • CVE-2021-30663: Una vulnerabilidad de desbordamiento de enteros que podría explotarse para crear contenido web malicioso, lo que puede conducir a la ejecución de código. La falla se solucionó mejorando la validación de entrada.
  • CVE-2021-30665: Un problema de corrupción de la memoria que podría explotarse para crear contenido web malicioso, lo que puede conducir a la ejecución de código. La falla se solucionó mejorando la gestión del estado.
  • CVE-2021-30666: Una vulnerabilidad de desbordamiento de búfer que podría explotarse para crear contenido web malicioso, lo que puede conducir a la ejecución de código. La falla se solucionó mejorando el manejo de la memoria.

El desarrollo se produce una semana después de que Apple lanzara iOS 14.5 y macOS Big Sur 11.3 con una solución para una vulnerabilidad de almacenamiento WebKit potencialmente explotada. Rastreado como CVE-2021-30661, el problema de uso después de la liberación fue descubierto e informado al fabricante del iPhone por un investigador de seguridad llamado yangkang (@dnpushme) de Qihoo 360 ATA.

yangkang, junto con zerokeeper y bianliang, han sido acreditados con el reporte de los tres nuevos defectos.

Vale la pena señalar que CVE-2021-30666 solo afecta a los dispositivos Apple más antiguos, como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6.ª generación). La actualización de iOS 12.5.3, que corrige esta falla, también incluye una solución para CVE-2021-30661.

La compañía dijo que está al tanto de los informes de que los problemas «pueden haber sido explotados activamente» pero, como suele ser el caso, no dio más detalles sobre la naturaleza de los ataques, las víctimas que pueden haber sido el objetivo o los actores de amenazas que pueden estar abusando. ellos.

Se recomienda a los usuarios de dispositivos Apple que actualicen a las últimas versiones para mitigar el riesgo asociado con las fallas.

Actualizar: Apple también lanzó una nueva versión de Safari 14.1 para macOS Catalina y macOS Mojave, con la actualización que presenta correcciones para las dos fallas de WebKit CVE-2021-30663 y CVE-2021-30665. La actualización llega un día después de que se enviaran los parches para iOS, macOS y watchOS.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática