Apple lanza parches de seguridad urgentes para errores de día cero bajo ataques activos

Noticias 7 de febrero de 2022

Apple lanzó el lunes actualizaciones de seguridad para iOS, macOS y watchOS para abordar tres fallas de día cero y expandir los parches para una cuarta vulnerabilidad que, según la compañía, podría haber sido explotada en la naturaleza.

Todas las debilidades se refieren a WebKit, el motor del navegador que alimenta Safari y otros navegadores web de terceros en iOS, lo que permite que un adversario ejecute código arbitrario en los dispositivos de destino. Un resumen de los tres errores de seguridad es el siguiente:

  • CVE-2021-30663: Una vulnerabilidad de desbordamiento de enteros que podría explotarse para crear contenido web malicioso, lo que puede conducir a la ejecución de código. La falla se solucionó mejorando la validación de entrada.
  • CVE-2021-30665: Un problema de corrupción de la memoria que podría explotarse para crear contenido web malicioso, lo que puede conducir a la ejecución de código. La falla se solucionó mejorando la gestión del estado.
  • CVE-2021-30666: Una vulnerabilidad de desbordamiento de búfer que podría explotarse para crear contenido web malicioso, lo que puede conducir a la ejecución de código. La falla se solucionó mejorando el manejo de la memoria.

El desarrollo se produce una semana después de que Apple lanzara iOS 14.5 y macOS Big Sur 11.3 con una solución para una vulnerabilidad de almacenamiento WebKit potencialmente explotada. Rastreado como CVE-2021-30661, el problema de uso después de la liberación fue descubierto e informado al fabricante del iPhone por un investigador de seguridad llamado yangkang (@dnpushme) de Qihoo 360 ATA.

yangkang, junto con zerokeeper y bianliang, han sido acreditados con el reporte de los tres nuevos defectos.

Vale la pena señalar que CVE-2021-30666 solo afecta a los dispositivos Apple más antiguos, como iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6.ª generación). La actualización de iOS 12.5.3, que corrige esta falla, también incluye una solución para CVE-2021-30661.

La compañía dijo que está al tanto de los informes de que los problemas «pueden haber sido explotados activamente» pero, como suele ser el caso, no dio más detalles sobre la naturaleza de los ataques, las víctimas que pueden haber sido el objetivo o los actores de amenazas que pueden estar abusando. ellos.

Se recomienda a los usuarios de dispositivos Apple que actualicen a las últimas versiones para mitigar el riesgo asociado con las fallas.

Actualizar: Apple también lanzó una nueva versión de Safari 14.1 para macOS Catalina y macOS Mojave, con la actualización que presenta correcciones para las dos fallas de WebKit CVE-2021-30663 y CVE-2021-30665. La actualización llega un día después de que se enviaran los parches para iOS, macOS y watchOS.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested