Apple ha dado a conocer tres nuevas vulnerabilidades zero-day que estaban siendo explotadas en ataques contra dispositivos, entre ellos iPhone, iPad, Mac Apple Watch y Apple TV. Los «día cero« son vulnerabilidades de software que no habían sido detectadas y de las que los cibercriminales se pueden aprovechar antes de que el desarrollador las encuentre y solucione.
«Apple es consciente de un informe que indica que este fallo podría estar siendo activamente usado, han explicado desde la compañía en sus comunicados de seguridad.
Las vulnerabilidades se han encontrado en WebKit, una plataforma para aplicaciones que funciona como motor del navegador Safari.
Permitían acceso remoto
Una de las vulnerabilidades permitía acceso remoto a los atacantes para afectar a su sandbox de contenidos web. Un sandbox es un entorno de pruebas que permite ejecutar aplicaciones en entornos aislados para bloquear malware para navegadores y evitar que se propaguen por la red.
Otro fallo se trataba de una vulerabilidad «out-of-bounds read», lo que significa que puede ayudar a los atacantes a acceder a información sensible, y el último permitía ejecutar código arbitrario en dispositivos comprometidos, después de engañar a los objetivos para cargar contenido malicioso en páginas web.
Estos fallos de seguridad han sido catalogados como CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373.
La lista de los sistemas afectados es extensa, ya que afecta a macOS Ventura 13.4, iOS, iPadOS 16.5, tvOS 16.5, watchOS 9.5 y Safari 16.5.
Entre los dispositivos, se incluyen Phone 6s, iPhone 7, iPhone SE,(primera generación), iPad Air 2, iPad mini (cuarta generación), iPod touch (séptima generación), iPhone 8 y sucesivos. Asimismo, todos los modelos de iPad Pro, iPad Air a partir de la tercera generación, iPad a partir de la quinta generación, y iPad mini a partir de la quinta generación.
En el entorno Macs, los que ejecuten macOS Big Sur, Monterey y Ventura, los Apple Watch Serie 4 y posteriores, y Apple TV 4K y HD.
Se recomienda actualizar los dispositivos y aplicar los parches de seguridad según vayan publicándose, como son las Respuestas Rápidas de Seguridad recién lanzadas por Apple.