Apple acaba de publicar una serie breve y precisa de correcciones de seguridad para Mac, iPhone y iPad

El error fue reportado por Aministía Internacional.

Todas las versiones de macOS compatibles (Big Sur, Monterey y Ventura) tienen parches que debes instalar, pero actualmente solo las versiones móviles de iOS 16 y iPadOS 16 tienen actualizaciones disponibles.

Como siempre, todavía no podemos saber si los usuarios de iOS 15 y iPadOS 15 con dispositivos más antiguos son inmunes y, por lo tanto, no necesitan un parche.

Están en riesgo y recibirán un parche en los próximos días, o son potencialmente vulnerables, y se quedarán al margen.

En estas actualizaciones se solucionan dos errores de diferentes tipos.

Es importante destacar que ambas vulnerabilidades se describen no sólo como conducentes a la “ejecución de código arbitrario” , sino también como “explotadas activamente” , lo que las convierte en agujeros de día cero (Zero Day).

Quieren hackear tu navegador y luego el kernel

Los errores que se pretenden solventar son:

• CVE-2023-28205: Un agujero de seguridad en WebKit, mediante el cual simplemente visitar un sitio web con trampas explosivas podría dar a los ciberdelincuentes control sobre su navegador o, incluso, sobre cualquier aplicación que utilice WebKit para representar y mostrar contenido HTML. (WebKit es el subsistema de visualización de contenido web de Apple). Muchas aplicaciones usan WebKit para mostrarle vistas previas de páginas web, mostrar texto de ayuda o incluso simplemente para generar una atractiva pantalla Acerca de. El navegador Safari de Apple utiliza WebKit, lo que lo hace directamente vulnerable a los errores de WebKit. Además, las reglas de la App Store de Apple significan que todos los navegadores en iPhones y iPads deben usar WebKit, lo que hace que este tipo de error sea un verdadero problema entre navegadores para los dispositivos móviles de Apple.
• CVE-2023-28206: Un error en el código de visualización IOSurfaceAccelerator de Apple. Este error permite que una aplicación local con trampa explosiva inyecte su propio código malicioso directamente en el núcleo del sistema operativo. Los errores de ejecución del código del kernel son inevitablemente mucho más graves que los errores a nivel de aplicación, porque el kernel es responsable de administrar la seguridad de todo el sistema, incluidos los permisos que pueden adquirir las aplicaciones y la libertad con la que las aplicaciones pueden compartir archivos y datos entre sí.

Irónicamente, los errores a nivel de kernel que dependen de una aplicación trampa a menudo no son de mucha utilidad por sí solos contra los usuarios de iPhone o iPad, porque las estrictas reglas del «jardín amurallado» de la App Store de Apple hacen que sea difícil para los atacantes engañarte instalando una aplicación maliciosa. en primer lugar.

No puedes salir del mercado e instalar aplicaciones de una fuente secundaria o no oficial, incluso si lo deseas, por lo que los delincuentes primero tendrían que introducir su aplicación maliciosa en la App Store antes de intentar convencerte para que la instales.

Pero cuando los atacantes pueden combinar un error remoto que destruye el navegador con un agujero local que destruye el kernel, pueden evitar por completo el problema de la App Store.

Aparentemente esa es la situación aquí, donde el primer error (CVE-2023-28205) permite a los atacantes tomar el control de la aplicación de navegador de su teléfono de forma remota y en ese momento, tienen una aplicación trampa que pueden usar para explotar el segundo error (CVE-2023-28206) y apoderarse de todo su dispositivo.

Y recuerde que debido a que todas las aplicaciones de la App Store con capacidades de visualización web deben usar WebKit, el error CVE-2023-28205 lo afecta incluso si ha instalado un navegador de terceros para usarlo en lugar de Safari.

El error fue reportado por activistas

Lo preocupante de ambos errores no es sólo que son agujeros de día cero, lo que significa que los atacantes los encontraron y ya los estaban usando antes de que se descubriera cualquier parche, sino también que fueron reportados por “Clément Lecigne del Grupo de Análisis de Amenazas de Google”. y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional”.

Apple no da más detalles que eso, pero no es un gran salto suponer que este error fue detectado por activistas de privacidad y justicia social de Amnistía e investigado por los encargados de respuesta a incidentes de Google.

Si es así, es casi seguro que estamos hablando de agujeros de seguridad que pueden utilizarse, y ya se han utilizado, para implantar software espía.

Incluso si esto sugiere un ataque dirigido y, por lo tanto, que la mayoría de nosotros probablemente no seamos los receptores del mismo, implica que estos errores funcionan eficazmente en la vida real contra víctimas desprevenidas.

En pocas palabras, se debe asumir que estas vulnerabilidades representan un peligro claro y presente, y no son sólo agujeros de prueba de concepto o riesgos teóricos.

¿Qué podemos hacer?

Como siempre, lo primero es mantener el sistema actualizado.

Es posible que Apple ya le haya ofrecido la actualización.

Si no lo ha estado, o se lo ofrecieron pero lo rechazó por el momento, le sugerimos que fuerce una verificación de actualización lo antes posible.

Las actualizaciones que hay que aplicar son:

• HT213722: Safari 16.4.1. Esto cubre CVE-2023-28205 (solo el error de WebKit) para Mac que ejecutan Big Sur y Monterey. El parche no está empaquetado como una nueva versión del sistema operativo, por lo que el número de versión de macOS no cambiará.
• HT213721: macOS Ventura 13.3.1. Esto cubre ambos errores de la última versión de macOS e incluye la actualización de Safari que se incluye por separado para usuarios de Mac más antiguas.
• HT213720: iOS 16.4.1 y iPadOS 16.4.1. Esto cubre ambos errores para iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores.

Si todavía tienes iOS 15 o iPadOS 15, mira este espacio (o mantente atento al portal de seguridad HT201222 de Apple ) en caso de que resulte que tú también necesitas una actualización.

Nota. Los Mac, iPhone y iPad más antiguos que ejecutan iOS 15, iPadOS 15, macOS 11 y macOS 12 ahora se pueden acutalizar contra los dos errores descritos anteriormente. Consulte el artículo de seguimiento de Sophos para obtener todos los detalles, incluidos los enlaces a los boletines de seguridad de Apple.