Dos graves vulnerabilidades de día cero permiten hackear iPhone, iPad y Mac

Informes de noticias recientes han llamado la atención sobre dos vulnerabilidades graves de día cero que representan un riesgo para la seguridad digital de los productos Apple vendidos en todas las regiones del mundo. Ambas vulnerabilidades, a las que se les han asignado los identificadores CVE CVE-2023-37450 y CVE-2023-38606, se encontraron presentes en Motor de navegador WebKit y componente kernel para varias plataformas. Ambas vulnerabilidades han sido explotadas activamente, lo que hace imperativo que se preste atención rápida a estas fallas de seguridad. WebKit tiene una vulnerabilidad de seguridad que ha sido identificada como CVE-2023-37450. Si se explota, esta vulnerabilidad podría permitir que los actores maliciosos ejecuten código arbitrario en dispositivos susceptibles, dándoles el control de dichos dispositivos. El ataque comienza cuando una víctima visita un sitio web malicioso sin su conocimiento mientras usa un dispositivo que ya ha sido infectado. El iPhone 8 y los modelos posteriores, así como todas las versiones del iPad Pro, iPad Air (3.ª generación y posteriores), iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores, están incluidos en la lista de dispositivos afectados. MacOS Ventura también está involucrado.

Como reacción directa a esta vulnerabilidad, Apple ha reforzado su mecanismo de seguridad al incluir más comprobaciones con iOS 16.6, iPadOS 16.6 y macOS Ventura 13.5. A pesar de ello, la corporación continúa extremando la cautela, admitiendo en sus advertencias de seguridad que existe evidencia que sugiere que esta vulnerabilidad pudo haber sido explotada activamente. La empresa divulgó esta información en advertencias de seguridad que describían la vulnerabilidad. “Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”, dijo la compañía.

UN ERROR DE KERNEL ZERO-DAY CON EL IDENTIFICADOR CVE-2023-38606

Los expertos de Kaspersky descubrieron la segunda vulnerabilidad, a la que se le dio el identificador CVE-2023-38606. Si se explotara este problema del kernel, permitiría a los atacantes “modificar el estado sensible del kernel” en iPhones y Mac, lo que les daría la posibilidad de tomar el control de estos dispositivos. El gigante tecnológico reveló esta información en avisos de seguridad que explican la vulnerabilidad. “Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7.1”, dijo la firma.

El peligro afecta a una amplia variedad de productos de Apple, como los sistemas operativos macOS Big Sur, Monterey y Ventura, así como a todos los modelos de iPhone a partir del iPhone 6s y en adelante. Todas las versiones del iPad Pro, iPad Air a partir de la 3.ª generación, iPad a partir de la 5.ª generación, iPad mini a partir de la 5.ª generación y iPod touch a partir de la 7.ª generación son susceptibles.

Apple ha reforzado su gestión estatal como respuesta a esta vulnerabilidad, que la empresa descubrió muy rápidamente. Por otro lado, el gigante tecnológico advirtió que las versiones de iOS que se lanzaron antes de iOS 15.7.1 pueden haber sido vulnerables a este error.

Para que los usuarios se defiendan de estos ataques, se recomienda encarecidamente que actualicen sus dispositivos a las versiones más recientes de iOS, iPadOS y macOS lo antes posible.