La semana pasada Apple lanzó iOS 16.3.1 e iPadOS 16.3.1 para parchear un par de fallas de software. Se encontró una vulnerabilidad en el motor de navegación WebKit que recibió el número de Vulnerabilidades y Exposiciones Comunes (CVE) 2023-23529. Esta falla facilitaría a un atacante aprovechar la ejecución de código arbitrario, lo que permitiría al hacker ejecutar comandos en un dispositivo objetivo. Apple ya informó que era consciente de un informe que indicaba que esta vulnerabilidad podría haber sido aprovechada activamente.
Vulnerabilidades descubiertas por Apple ponen en entredicho la seguridad de iOS
La actualización de iOS 16.3.1 también corrigió una vulnerabilidad en el núcleo que facilitaba a una aplicación ejecutar código arbitrario con privilegios en el núcleo. Apple corrigió este defecto con una mejor gestión de la memoria.
Hoy, Apple ha informado que parcheo otra vulnerabilidad (CVE-2023-23524) enr iOS 16.3.1 y iPadOS 16.3.1. Este defecto podría haber permitido a un atacante que un iPhone o iPad procesara un “certificado mal creado” que llevaría a un ataque de denegación de servicio (DoS). Estos ataques inundan la red con tráfico falso que causa bloqueos y evitan que los usuarios puedan acceder a la información que necesitan o completar las acciones que estaban tratando de realizar. Apple solucionó el defecto con una “validación de entrada mejorada”.
Apple añadió en la web de soporte de contenido de seguridad de iOS 16.3 y iPadOS 16.3 y agregó tres nuevos defectos que se corrigieron con iOS 16.3 y iPadOS 16.3. Uno, CVE-2023-23520, se encontró en el iOS Crash Reporter que podría permitir a los atacantes leer archivos arbitrarios como raíz. Otras dos vulnerabilidades, CVE-2023-23530 y CVE-2023-23531, también se añadieron a la página de soporte de contenido de seguridad.
Estos defectos se encontraron en iPhone y el iPad. La compañía dice que “proporciona una capa base de funcionalidad para aplicaciones y marcos, que incluye almacenamiento y persistencia de datos, procesamiento de texto, cálculos de fecha y hora, clasificación y filtrado y redes”. La compañía de Cupertino parcheo la vulnerabilidad que podría haber permitido a una aplicación “ejecutar código arbitrario fuera de su zona protegida o con ciertos privilegios elevados”.
Un sandbox para una aplicación restringe la obtención o cambio de archivos utilizados por otras aplicaciones. También evita que las aplicaciones realicen cambios en un dispositivo. La aplicación que pueda ejecutar comandos fuera de su zona protegida podría ser extremadamente peligrosa y podría permitir que un atacante obtenga el control completo sobre un iPhone o iPad.
Para asegurarse de que ha descargado el software más reciente en su teléfono, vaya a General > Actualización de software y siga las instrucciones.