Encuentran vulnerabilidades día cero en múltiples versiones de iOS

Apple anunció el lanzamiento de algunas actualizaciones de seguridad en iOS que abordarán tres vulnerabilidades día cero que habrían sido explotadas en escenarios reales. Estos errores fueron reportados a la compañía tecnológica por un hacker ético no identificado hasta el momento.

Sobre las fallas, la primera afecta al kernel del sistema operativo iOS (identificada como CVE-2021-1782), mientras que las dos vulnerabilidades restantes residen en el motor del navegador WebKit (identificadas como CVE-2021-1870 y CVE-2021-1871).

La primera falla (el error del kernel de iOS) fue descrita como un error de condición de carrera que permitiría a los atacantes realizar una escalada de privilegios para su propio código de ataque. Por otra parte, las dos vulnerabilidades días cero de WebKit fueron descritas como fallas lógicas que podrían permitir a los actores de amenazas remotos ejecutar su propio código malicioso en el contexto del navegador de los usuarios.

La comunidad de la ciberseguridad en seguridad cree que los tres errores son parte de una cadena de exploits en la que los usuarios son atraídos a un sitio malicioso que aprovecha el error de WebKit para ejecutar código que luego aumenta sus privilegios para ejecutar código a nivel de sistema y comprometer el sistema operativo. No obstante, los detalles técnicos sobre los incidentes de explotación activa que involucran estas fallas no se hicieron públicos, cumpliendo con la política de divulgación de fallas día cero vigente en Apple.

Las tres fallas de fueron detectadas después de que Apple corrigiera otro conjunto de tres vulnerabilidades día cero en iOS en noviembre del año pasado. Este último conjunto de fallas fue reportado por los investigadores de Google Project Zero.

El reporte de vulnerabilidades día cero se ha convertido en algo común para Apple. Hace un par de meses, los investigadores de Citizen Lab también publicaron un informe sobre múltiples ataques a periodistas de Al Jazera empleando fallas no detectadas en sistemas iOS. Al parecer, la compañía corrigió estas vulnerabilidades de forma inadvertida con el lanzamiento de iOS 14.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).