Apple ha lanzado actualizaciones de seguridad para los parches de backport lanzados el mes pasado, abordando un error de día cero explotado activamente para iPhones y iPads más antiguos.
La vulnerabilidad CVE-2023-23529 es un problema de tipo WebKit que la empresa solucionó en los dispositivos iPhone y iPad más nuevos el pasado 13 de febrero. Se trata de un fallo que los ciberdelincuentes pueden explotar para bloquear el sistema operativo y ejecutar código en dispositivos iOS y iPadOS comprometidos después de llevar a cabo un ataque con éxito.
Los atacantes pueden ejecutar código arbitrario en los iPhone y iPad seleccionados después de engañar a las víctimas para que abran páginas web maliciosas, un error que también afecta a Safari 16.3.1 en macOS Big Sur y Monterey.
Apple también ha abordado la vulnerabilidad de día cero en iOS 15.7.4 y iPadOS 15.7.4 con controles mejorados.
La lista de dispositivos afectados incluye todos los modelos de iPhone 6s, todos los modelos de iPhone 7, la primera generación de iPhone SE, iPad Air 2, la cuarta generación de iPad mini, y la séptima generación de iPod touch.
Apple reconoce la posible explotación de esta vulnerabilidad
Desde Apple señalan que están al corriente de los informes de que esta vulnerabilidad de día cero ha sido explotada en diversos ataques. Sin embargo, la compañía aún no ha publicado información sobre estos incidentes.
No obstante, este es un procedimiento habitual, no solo de Apple, sino de la mayoría de organizaciones a la hora de publicar parches de seguridad. Restringir el acceso a los detalles técnicos permite que el máximo número de usuarios aseguren sus dispositivos y ralentiza los esfuerzos de los atacantes para desarrollar e implementar exploits adicionales dirigidos a dispositivos vulnerables.
Si bien los expertos apuntan que esta vulnerabilidad de día cero probablemente solo se usó en ataques dirigidos, se recomienda encarecidamente instalar esta actualización de seguridad de lo antes posible. Con ello, los usuarios conseguirán bloquear posibles intentos de ataque dirigidos a usuarios de dispositivos iPhone y iPad que ejecutan software antiguo.
El pasado mes de enero, Apple también publicó parches para otro fallo de día cero que se podía explotar de forma remota en iPhones y iPads más antiguos, según detectaron desde el Grupo de Análisis de Amenazas de Google.
