Apple ha lanzado una serie de parches para abordar dos vulnerabilidades de día cero que afectan a su sistema operativo de escritorio (OS) macOS Monterey, sus sistemas operativos iOS y iPadOS, y su navegador web Safari.
Las dos vulnerabilidades se rastrean como CVE-2022-32893 y CVE-2022-32894. Ambos son problemas de escritura fuera de los límites que afectan a la extensión del navegador web Safari WebKit y al kernel del sistema operativo, respectivamente. Apple dijo que estaba al tanto de los informes de que es posible que ambas vulnerabilidades ya se hayan explotado activamente en la naturaleza, lo que hace que la necesidad de parchear sea más urgente.
Explotado con éxito, CVE-2022-32893 permite a un actor de amenazas lograr la ejecución de código arbitrario si el usuario objetivo visita un sitio web creado con fines malintencionados. En términos sencillos, esto podría darles el control total del dispositivo.
CVE-2022-32894 permite que un actor de amenazas use una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel, con el efecto final nuevamente de obtener el control del dispositivo de destino. Las vulnerabilidades del kernel se encuentran entre algunos de los problemas de seguridad más peligrosos que puede enfrentar un dispositivo, por lo que las organizaciones que ejecutan propiedades de Apple deben priorizar la implementación de estos parches.
Los usuarios consumidores también correrán el riesgo de verse comprometidos, pero deben tener en cuenta que los dispositivos Apple pueden tomar y toman dichas actualizaciones automáticamente, por lo que es posible que ya hayan aplicado los parches. Los usuarios pueden verificar su estado de actualización y descargar parches a través del Menú Apple – Acerca de esta Mac – Actualización de software en una Mac, o Configuración – General – Actualización de software en un iPhone o iPad.
Los parches relevantes actualizan macOS Monterey a la versión 12.5.1, iOS y iPadOS a la versión 15.6.1 y Safari a la versión 15.6.1 para macOS Big Sur y macOS Catalina.
A diferencia de Microsoft, Apple no se adhiere a ningún cronograma específico para divulgar vulnerabilidades o publicar correcciones para ellas, pero Brian Higgins de Comparitech dijo que el hecho de que Apple haya dado el paso de emitir un aviso para los dos días cero los hizo muy impactantes.
“A veces, los proveedores de plataformas lanzan funciones que son tan peligrosas que deben repararse de inmediato para proteger las aplicaciones y los dispositivos, y ese parece ser el caso aquí”, dijo.
“Apple generalmente confía en las actualizaciones de software para mantener sus plataformas seguras y espera que cualquier error pase desapercibido entre lanzamientos. Es muy raro que se hagan públicos de esta manera, lo que significa que todos deberían tomar esta amenaza en serio y actualizar tan pronto como puedan”.
Higgins agregó: “El gran riesgo de publicar una vulnerabilidad importante es que ahora todos los ciberdelincuentes del planeta saben que existe y los usuarios de Apple están en una carrera para actualizar sus dispositivos antes de que puedan infectarse. Si Apple cree que es tan serio que necesitan hacerlo público, entonces si aún no ha instalado iOS 15.6.1, debe hacerlo ahora mismo”.
Apple ha parcheado muchos otros días cero este año, incluidos otros problemas relacionados con la seguridad del kernel: CVE-2022-22674, corregido en abril, era una vulnerabilidad del controlador de gráficos Intel parcheada en macOS Monterey. Fue un problema de lectura fuera de los límites que podría haber llevado a la divulgación de la memoria del núcleo.
Y en enero, Cupertino arregló CVE-2022-22586, una vulnerabilidad de ejecución remota de código (RCE) que existía en el componente IOBuffer de iOS y versiones anteriores a Catalina de macOS.
