Tecnología

Apple corrige el día cero que afecta a los iPhones y Mac, explotados en la naturaleza

Apple corrige el día cero que afecta a los iPhones y Mac, explotados en la naturaleza

Apple ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad de día cero explotada en la naturaleza y que afecta a iPhones, iPads y Mac.

La vulnerabilidad, rastreada como CVE-2021-30807, es un problema de corrupción de memoria en la extensión del kernel IOMobileFramebuffer informado por un investigador anónimo.

Apple ha corregido el error, permitiendo que las aplicaciones ejecuten código arbitrario con privilegios del kernel, mejorando el manejo de la memoria en iOS 14.7.1, iPadOS 14.7.1 y macOS Big Sur 11.5.1.

La lista de dispositivos afectados incluye Mac, iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores y iPod touch (séptima generación).

“Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”, dijo la compañía en seguridad avisos publicado hoy.

Si bien Apple reveló que al menos un informe mencionó la explotación activa de CVE-2021-30807 en la naturaleza, la compañía no dio a conocer ninguna información adicional sobre estos ataques.

Es probable que retener esta información sea una medida diseñada para permitir que las actualizaciones de seguridad lanzadas hoy lleguen a tantos iPhones, iPads y Mac como sea posible antes de que otros actores de amenazas se den cuenta de los detalles y comiencen a abusar activamente del día cero ahora parcheado.

Larga lista de días cero parcheados este año

Desde principios de 2021, Apple ha lanzado actualizaciones de seguridad para abordar lo que parece una ola interminable de vulnerabilidades de día cero, muchas de ellas etiquetadas por la compañía como explotadas en la naturaleza:

  • tres días cero de iOS (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) en febrero, explotado en la naturaleza e informado por investigadores anónimos
  • un día cero de iOS (CVE-2021-1879) en marzo que también puede haber sido explotado activamente
  • un día cero en iOS (CVE-2021-30661) y uno en macOS (CVE-2021-30657) en abril, explotado por el malware Shlayer.
  • otros tres días cero de iOS (CVE-2021-30663, CVE-2021-30665 y CVE-2021-30666) en mayo, errores que permiten la ejecución de código remoto arbitrario (RCE) en dispositivos vulnerables simplemente visitando sitios web maliciosos.
  • a macOS zero-day (CVE-2021-30713) en mayo, una vulnerabilidad de la que abusó el malware XCSSET para eludir las protecciones TCC de Apple diseñadas para salvaguardar la privacidad de los usuarios.
  • dos errores de día cero de iOS (CVE-2021-30761 y CVE-2021-30762) en junio que “pueden haber sido explotados activamente” para piratear dispositivos iPhone, iPad y iPod más antiguos.

El mes pasado, Amnistía Internacional y Forbidden Stories también revelaron que encontraron software espía creado por el proveedor de vigilancia israelí NSO Group implementado en iPhones con la última versión de iOS, probablemente pirateado con exploits de iMessage de día cero y cero clic.

Project Zero también reveló recientemente que un grupo de piratas informáticos utilizó 11 días cero en ataques dirigidos a usuarios de Windows, iOS y Android en un solo año.

Leave a Comment

You may also like

Más