Apple lanzó el lunes una actualización de seguridad urgente para iOS, iPadOS y macOS para abordar una falla de día cero que, según dijo, podría haber sido explotada activamente, lo que la convierte en la decimotercera vulnerabilidad de este tipo que Apple ha parcheado desde principios de este año.

Las actualizaciones, que llegan menos de una semana después de que la compañía lanzara al público iOS 14.7, iPadOS 14.7 y macOS Big Sur 11.5, solucionan un problema de corrupción de memoria (CVE-2021-30807) en el componente IOMobileFrameBuffer, una extensión del kernel para administrar el framebuffer de la pantalla, que podría abusarse para ejecutar código arbitrario con privilegios del kernel.

La compañía dijo que abordó el problema mejorando el manejo de la memoria, y señaló que está «al tanto de un informe de que este problema puede haber sido explotado activamente». Como suele ser el caso, no se han revelado detalles adicionales sobre la falla para evitar el uso de armas de la vulnerabilidad para ataques adicionales. Apple le dio crédito a un investigador anónimo por descubrir y reportar la vulnerabilidad.

El momento de la actualización también genera dudas sobre si el día cero tuvo algún papel en comprometer los iPhones que utilizan el software Pegasus de NSO Group, que se ha convertido en el foco de una serie de informes de investigación que han expuesto cómo la herramienta de spyware convirtió los teléfonos móviles de los periodistas. activistas de derechos humanos y otros en dispositivos portátiles de vigilancia, otorgando acceso completo a la información confidencial almacenada en ellos.

CVE-2021-30807 es también la decimotercera vulnerabilidad de día cero abordada por Apple solo este año, que incluye:

• CVE-2021-1782 (Kernel): una aplicación maliciosa puede elevar los privilegios
• CVE-2021-1870 (WebKit): un atacante remoto puede provocar la ejecución de código arbitrario
• CVE-2021-1871 (WebKit): un atacante remoto puede provocar la ejecución de código arbitrario
• CVE-2021-1879 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede generar secuencias de comandos entre sitios universales
• CVE-2021-30657 (Preferencias del sistema): una aplicación malintencionada puede eludir las comprobaciones de Gatekeeper
• CVE-2021-30661 (Almacenamiento WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
• CVE-2021-30663 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
• CVE-2021-30665 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
• CVE-2021-30666 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
• CVE-2021-30713 (marco TCC): una aplicación maliciosa puede eludir las preferencias de privacidad
• CVE-2021-30761 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
• CVE-2021-30762 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario

Dado que disponibilidad pública de un exploit de prueba de concepto (PoC), se recomienda encarecidamente que los usuarios actualicen rápidamente sus dispositivos a la última versión para mitigar el riesgo asociado con la falla.