Apple anunció el lanzamiento de nuevas actualizaciones de seguridad para corregir una vulnerabilidad día cero que afecta a los dispositivos iPhone, iPad y Mac, y que ya ha sido explotada en escenarios reales. La falla fue identificada como CVE-2021-30807 y descrita como un problema de corrupción de memoria en la extensión del kernel IOMobileFramebuffer.
Apple corrigió la vulnerabilidad permitiendo que las aplicaciones ejecuten código arbitrario con privilegios del kernel, mejorando el manejo de la memoria en iOS 14.7.1, iPadOS 14.7.1 y macOS Big Sur 11.5.1. La lista de dispositivos afectados incluye Mac, iPhone 6s y posteriores, iPad Pro, iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores y iPod Touch.
La compañía reconoce al menos un incidente de explotación activa de CVE-2021-30807 en escenarios reales, aunque no se agregaron más detalles. Es probable que retener esta información sea una medida para permitir que las actualizaciones de seguridad lanzadas hoy lleguen a tantos iPhones, iPads y Mac como sea posible antes de que otros actores de amenazas logren abusar de esta falla.
2021 ha sido un año especialmente activo para Apple y sus equipos responsables de detectar y corregir vulnerabilidades en su software, considerado en general como una opción más segura que Android. Entre los problemas abordados por la compañía durante los últimos meses destacan:
- Tres vulnerabilidades día cero en iOS (CVE-2021-1870, CVE-2021-1871 y CVE-2021-1872) explotadas activamente
- Una vulnerabilidad día cero en iOS (CVE-2021-1879) explotada como una campaña masiva de hacking
- Una vulnerabilidad día cero en iOS (CVE-2021-30661) y una vulnerabilidad día cero en macOS (CVE-2021-30657) explotadas por el malware Shlayer
Por si fuera poco, hace unas semanas Amnistía Internacional y Forbidden Stories revelaron el hallazgo del software espía Pegasus, desarrollado por la firma israelí NSO Group instalado en algunos dispositivos con la más reciente versión del sistema iOS. Estos dispositivos habrían sido infectados empleando peligrosos exploits día cero en iMessage. Se espera que Apple publique un informe completo sobre esta campaña de hacking contra su nuevo sistema operativo en las próximas semanas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
