Las últimas actualizaciones de seguridad de Apple cuentan con parches para iOS, iPadOS, macOS y Safari. Con ellos, la compañía aborda una vulnerabilidad de día cero que se está explotando activamente.
El problema, registrado como CVE-2023-23529, se relaciona con un error en el motor del navegador WebKit que podría activarse al procesar contenido web creado con fines maliciosos. En consecuencia, se podría ejecutar código arbitrario.
Según Apple, este error se ha solucionado con la mejora de controles, si bien añade que está al corriente de un informe anónimo en el que se señala que este problema puede haber sido explotado activamente.
Aún no está completamente claro cómo se explota la vulnerabilidad, pero es el segundo error de este tipo en WebKit y que Apple corrige después del CVE-2022-42856, cerrado el pasado mes de diciembre.
En esta actualización también se ha abordado un problema de uso posterior a la liberación en el Kernel (CVE-2023-23514) que podía permitir que una aplicación no autorizada ejecutase código con los privilegios más altos.
Asimismo, en la última actualización de macOS también corrige un defecto de privacidad en los accesos directos que una aplicación con malware puede aprovechar para «observar datos de usuario desprotegidos». Según Apple, el problema se ha solucionado mejorando la gestión de los archivos temporales.
La décima vulnerabilidad de día cero de Apple
La compañía ha recomendado a los usuarios que actualicen a iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1y Safari 16.3.1 para mitigar potenciales riesgos.
Los dispositivos para los que está disponible esta actualización son los iPhone 8 y modelos posteriores, así como para iPad Pro (todos los modelos), iPad Air de 3ª generación y posteriores, iPad de 5ª generación y posteriores, y iPad mini de 5ª generación y modelos posteriores.
La actualización para Mac abarca macOS Ventura, macOS Big Sur y macOS Monterey.
Con esta actualización de seguridad, Apple ha solventado un total de 10 vulnerabilidades de día cero desde comienzos de 2022. Nueve de estos fallos se han explotado activamente por actores de amenazas, cuatro de ellos en WebKit.