Apple parchea tres días cero de iOS bajo ataque


La compañía emite actualizaciones de emergencia para corregir errores que afectan a dispositivos que van desde iPhones hasta relojes Apple.

Apple ha lanzado una actualización para sus sistemas operativos iOS y iPadOS para corregir tres fallas de seguridad de día cero que se están explotando activamente en la naturaleza. El trío de fallas afecta a varias versiones de iPhones y iPads y la última generación de iPod touch.

«Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente», dice Apple aviso de seguridad describiendo cada agujero de seguridad que se está taponando con el lanzamiento de iOS y iPadOS 14.4.

La lista de dispositivos afectados incluye Iphone 6s y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores, y 7th iPod contact de generación. El titán tecnológico con sede en Cupertino también emitió actualizaciones de seguridad para una de las vulnerabilidades en una variedad de sus otras ofertas, incluido Apple Watch (watchOS 7.3) y Apple Tv (tvOS 14.4).

Como es habitual, no se sabe nada sobre los autores y los objetivos de los ataques de día cero, que aprovechan las lagunas en el kernel del sistema operativo y el motor del navegador WebKit.

El primer defecto, rastreado como CVE-2021-1782 y ubicado en el kernel del sistema operativo, es un error de condición de carrera que podría conducir a una escalada de privilegios, que podría ser aprovechado por un atacante que united states una aplicación maliciosa. En términos sencillos, esto significa que un atacante podría usar la aplicación para obtener privilegios adicionales en el sistema operativo del dispositivo, lo que le permitiría causar todo tipo de estragos.

Mientras tanto, las otras dos fallas de seguridad, indexadas como CVE-2021-1871 y CVE-2021-1870, reside en el componente WebKit, el motor de navegador world wide web de código abierto de Apple utilizado por el navegador Safari, Mail y varias otras aplicaciones de iOS y iPadOS. Según la descripción del mistake, se debe a «un problema de lógica» que podría ser aprovechado por un atacante remoto y permitirle ejecutar código arbitrario. De acuerdo a Vulmon, el dúo de fallas podría explotarse “persuadiendo a una víctima para que visite un sitio net especialmente diseñado”.

Más allá de los tres días cero, que fueron descubiertos por investigadores anónimos, Apple también emitió soluciones de seguridad para fallas que afectaban a su Xcode y iCloud para Home windows productos.

los Equipo de respuesta a emergencias informáticas de Hong Kong (HKCERT) emitió una alerta clasificando las vulnerabilidades como de “riesgo extremadamente alto” e instando a los usuarios de los dispositivos Apple afectados a aplicar las actualizaciones inmediatamente. Si no tiene habilitadas las actualizaciones automáticas, puede actualizar sus dispositivos manualmente yendo al menú Configuración, luego tocando Standard y yendo a la sección Actualización de computer software.

Apple ha anulado previamente otros tres días cero que estaban siendo explotados activamente en la naturaleza en noviembre del año pasado.





Enlace a la noticia original