Apple ha anunciado que corrige una vulnerabilidad de día cero en iOS que estaba siendo explotada de forma activa en algunos de sus iPhone e iPad de modelos más antiguos.
Registrada como CVE-2022-42856, esta brecha se deriva de una debilidad en el motor de navegación Webkit de Apple.
Este fallo, descubierto por Clément Lecigne, del grupo de análisis de amenazas de Google, permite que las páginas web creadas con fines maliciosos ejecuten código arbitrario. De esta forma, actores maliciosos pueden obtener acceso a la información confidencial que los usuarios guardan en dispositivos vulnerables.
Los ciberdelincuentes pueden explotar con éxito este fallo al engañar a sus objetivos para que visiten un sitio web creado con fines maliciosos que está bajo su control.
Una vez conseguido, la ejecución de código arbitrario podría permitirles ejecutar comandos en el sistema operativo subyacente, implementar cargas adicionales de malware o spyware, o llevar a cabo otras actividades maliciosas.
En un aviso de seguridad publicado por Apple, la compañía ha manifestado estar al corriente de los informes sobre esta vulnerabilidad de día cero que «puede haber sido explotada activamente».
Para solucionarla, ha introducido cambios en la gestión del estado de antiguos modelos de su popular smartphone y tablet. Entre ellos se encuentra el iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (6ª generación).
Apple urge a parchear sus dispositivos más antiguos
Si bien Apple ha confirmado que ha recibidos distintos informes acerca de la explotación activa de esta vulnerabilidad, la empresa aún no ha publicado información sobre estos ataques y su posible impacto.
Con ello, es probable que Apple pretenda llamar la atención y que los máximos usuarios parcheen sus dispositivos antes de que otros atacantes aprovechen esta vulnerabilidad e implementen exploits personalizados dirigidos a los iPhone y iPad vulnerables.
Y es que, si bien es probable que este fallo de seguridad solo se haya utilizado en ataques dirigidos, se recomienda instalar las actualizaciones de seguridad lo antes posible para bloquear posibles intentos de ataque.
Desde la CISA han incorporado este error a su lista de vulnerabilidades explotadas publicadas el 14 de diciembre. Esto requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) lo parcheen para protegerlos de ‘amenazas activas’.
Apple también ha publicado parches para solucionar otros fallos de seguridad en su navegador web Safari, así como en sus últimas versiones de macOS, iOS y watchOS.
