En las actualizaciones de seguridad publicadas el lunes, Apple solucionó la novena vulnerabilidad de día cero utilizada en ataques contra iPhones desde principios de año.
Apple reveló hoy en un aviso que está al tanto de los informes que dicen que la falla de seguridad «puede haber sido explotada activamente».
El error (CVE-2022-42827) es un problema de escritura fuera de los límites informado a Apple por un investigador anónimo y causado por el software que escribe datos fuera de los límites del búfer de memoria actual.
Esto puede provocar daños en los datos, bloqueos de aplicaciones o ejecución de código debido a resultados indefinidos o inesperados (también conocidos como daños en la memoria) como resultado de los datos subsiguientes escritos en el búfer.
Como explica Apple, si se explota con éxito en los ataques, este día cero podría haber sido utilizado por atacantes potenciales para ejecutar código arbitrario con privilegios de kernel.
La lista completa de dispositivos afectados incluye iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores.
Apple abordó la vulnerabilidad de día cero en iOS 16.1 y iPadOS 16 con una verificación de límites mejorada.
Acunetix es una solución integral de seguridad de aplicaciones web que le ayuda a abordar las vulnerabilidades en todos sus activos web críticos.
Conocer..
Parchea tus iPhones y iPads
Si bien Apple ha revelado que conoce informes de explotación activa de esta vulnerabilidad en la naturaleza, aún no ha publicado ninguna información sobre estos ataques.
Es probable que esto permita a los clientes de Apple parchear sus dispositivos antes de que más atacantes desarrollen exploits adicionales y comiencen a usarlos en ataques dirigidos a iPhones y iPads vulnerables.
Aunque este error de día cero probablemente solo se usó en ataques altamente dirigidos, se recomienda encarecidamente instalar las actualizaciones de seguridad actuales para bloquear cualquier intento de ataque.
Este es el noveno día cero fijado por Apple desde principios de año:
- En septiembre, Apple solucionó una falla en el Kernel de iOS (CVE-2022-32917).
- En agosto, arregló dos días cero más en el Kernel de iOS (CVE-2022-32894) y WebKit (CVE-2022-32893)
- En marzo, Apple parcheó dos día cero en el controlador de gráficos Intel (CVE-2022-22674) y AppleAVD (CVE-2022-22675).
- En febrero, Apple lanzó actualizaciones de seguridad para abordar otro error de día cero de WebKit explotado para apuntar a iPhones, iPads y Macs.
- En enero, Apple parcheó otro par de días cero que permitían la ejecución de código con privilegios de kernel (CVE-2022-22587) y el seguimiento de la actividad de navegación web (CVE-2022-22594).
Fuente bleepingcomputer.com
Si te ha gustado, ¡compártelo con tus amigos!
