{"id":30451,"date":"2024-04-15T07:40:00","date_gmt":"2024-04-15T05:40:00","guid":{"rendered":"https:\/\/www.metafrase.com\/blog\/?p=30451"},"modified":"2024-03-28T15:08:43","modified_gmt":"2024-03-28T14:08:43","slug":"apple-publica-parches-nuevos","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/apple-publica-parches-nuevos\/","title":{"rendered":"Apple publica parches nuevos de emergencia"},"content":{"rendered":"<header>\n<div class=\"container mt-8 md:mt-16 md:-mb-4\">\n<div class=\"max-w-4xl mx-auto\">\n<h1 class=\"text-style-h1 mb-8\">Apple publica nuevos parches<\/h1>\n<h1 class=\"text-style-h1 mb-8\">Los nuevos parches de emergencia son para exploits diarios y spyware<\/h1>\n<\/div>\n<\/div>\n<\/header>\n<div class=\"container md:my-16 xl:my-24 my-8\">\n<div class=\"entry-content lg:prose-lg mx-auto prose max-w-4xl\">\n<p>Apple acaba de publicar una serie breve y precisa de correcciones de seguridad para <a href=\"https:\/\/www.metafrase.com\/blog\/los-mac-tambien-sufren-ciberataques-los-sistemas-operativos-os-de-apple-bajo-amenaza\/\">Mac<\/a>, iPhone y iPad<\/p>\n<p>El error fue reportado por Aminist\u00eda Internacional.<\/p>\n<p>Todas las versiones de macOS compatibles (Big Sur, Monterey y Ventura) tienen parches que debes instalar, pero actualmente solo las versiones m\u00f3viles de iOS 16 y iPadOS 16 tienen actualizaciones disponibles.<\/p>\n<p>Como siempre, todav\u00eda no podemos saber si los usuarios de iOS 15 y iPadOS 15 con dispositivos m\u00e1s antiguos son inmunes y, por lo tanto, no necesitan un parche.<\/p>\n<p>Est\u00e1n en riesgo y recibir\u00e1n un parche en los pr\u00f3ximos d\u00edas, o son potencialmente vulnerables, y se quedar\u00e1n al margen.<\/p>\n<p>En estas actualizaciones se solucionan dos errores de diferentes tipos.<\/p>\n<p>Es importante destacar que ambas vulnerabilidades se describen no s\u00f3lo como conducentes a la <em>\u201cejecuci\u00f3n de c\u00f3digo arbitrario\u201d<\/em>\u00a0, sino tambi\u00e9n como\u00a0<em>\u201cexplotadas activamente\u201d<\/em> , lo que las convierte en agujeros de d\u00eda cero (Zero Day).<\/p>\n<aside id=\"sophos_ad-17\" class=\"widget sophos-inline-ad sophos_widget_ad\">\n<div class=\"sophos_widget_ad\">\n<div class=\"s-ad-sophos-mdr\">\n<div class=\"s-ad-sophos-mdr__action\"><\/div>\n<\/div>\n<\/div>\n<\/aside>\n<h2>Quieren hackear tu navegador y luego el kernel<\/h2>\n<p>Los errores que se pretenden solventar son:<\/p>\n<ul>\n<li><strong>CVE-2023-28205:\u00a0<\/strong><em>Un agujero de seguridad en WebKit,<\/em>\u00a0mediante el cual simplemente visitar un sitio web con trampas explosivas podr\u00eda dar a los ciberdelincuentes control sobre su navegador o, incluso, sobre cualquier aplicaci\u00f3n que utilice WebKit para representar y mostrar contenido HTML.\u00a0(WebKit es el subsistema de visualizaci\u00f3n de contenido web de Apple). Muchas aplicaciones usan WebKit para mostrarle vistas previas de p\u00e1ginas web, mostrar texto de ayuda o incluso simplemente para generar una atractiva pantalla Acerca de.\u00a0El navegador Safari de Apple utiliza WebKit, lo que lo hace directamente vulnerable a los errores de WebKit.\u00a0Adem\u00e1s, las reglas de la App Store de Apple significan que todos los navegadores en iPhones y iPads deben usar WebKit, lo que hace que este tipo de error sea un verdadero problema entre navegadores para los dispositivos m\u00f3viles de Apple.<\/li>\n<li><strong>CVE-2023-28206:\u00a0<\/strong><em>Un error en el c\u00f3digo de visualizaci\u00f3n IOSurfaceAccelerator de Apple.\u00a0<\/em>Este error permite que una aplicaci\u00f3n local con trampa explosiva inyecte su propio c\u00f3digo malicioso directamente en el n\u00facleo del sistema operativo.\u00a0Los errores de ejecuci\u00f3n del c\u00f3digo del kernel son inevitablemente mucho m\u00e1s graves que los errores a nivel de aplicaci\u00f3n, porque el kernel es responsable de administrar la seguridad de todo el sistema, incluidos los permisos que pueden adquirir las aplicaciones y la libertad con la que las aplicaciones pueden compartir archivos y datos entre s\u00ed.<\/li>\n<\/ul>\n<p>Ir\u00f3nicamente, los errores a nivel de kernel que dependen de una aplicaci\u00f3n trampa a menudo no son de mucha utilidad por s\u00ed solos contra los usuarios de iPhone o iPad, porque las estrictas reglas del \u00abjard\u00edn amurallado\u00bb de la App Store de Apple hacen que sea dif\u00edcil para los atacantes enga\u00f1arte instalando una aplicaci\u00f3n maliciosa. en primer lugar.<\/p>\n<p>No puedes salir del mercado e instalar aplicaciones de una fuente secundaria o no oficial, incluso si lo deseas, por lo que los delincuentes primero tendr\u00edan que introducir su aplicaci\u00f3n maliciosa en la App Store antes de intentar convencerte para que la instales.<\/p>\n<p>Pero cuando los atacantes pueden combinar un error remoto que destruye el navegador con un agujero local que destruye el kernel, pueden evitar por completo el problema de la App Store.<\/p>\n<p>Aparentemente esa es la situaci\u00f3n aqu\u00ed, donde el primer error (CVE-2023-28205) permite a los atacantes tomar el control de la aplicaci\u00f3n de navegador de su tel\u00e9fono de forma remota y en ese momento, tienen una aplicaci\u00f3n trampa que pueden usar para explotar el segundo error (CVE-2023-28206) y apoderarse de todo su dispositivo.<\/p>\n<p>Y recuerde que debido a que todas las aplicaciones de la App Store con capacidades de visualizaci\u00f3n web deben usar WebKit, el error CVE-2023-28205 lo afecta incluso si ha instalado un navegador de terceros para usarlo en lugar de Safari.<\/p>\n<\/div>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter wp-image-30456 size-full lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Apple-parches\" width=\"959\" height=\"734\" sizes=\"(max-width: 959px) 100vw, 959px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/03\/Apple-parche.webp\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/03\/Apple-parche.webp 959w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/03\/Apple-parche-300x230.webp 300w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2024\/03\/Apple-parche-768x588.webp 768w\"><\/p>\n<div class=\"entry-content lg:prose-lg mx-auto prose max-w-4xl\">\n<h2>El error fue reportado por activistas<\/h2>\n<p>Lo preocupante de ambos errores no es s\u00f3lo que son agujeros de d\u00eda cero, lo que significa que los atacantes los encontraron y ya los estaban usando antes de que se descubriera cualquier parche, sino tambi\u00e9n que fueron reportados por\u00a0<em>\u201cCl\u00e9ment Lecigne del Grupo de An\u00e1lisis de Amenazas de Google\u201d. y Donncha \u00d3 Cearbhaill del Laboratorio de Seguridad de Amnist\u00eda Internacional\u201d.<\/em><\/p>\n<p>Apple no da m\u00e1s detalles que eso, pero no es un gran salto suponer que este error fue detectado por activistas de privacidad y justicia social de Amnist\u00eda e investigado por los encargados de respuesta a incidentes de Google.<\/p>\n<p>Si es as\u00ed, es casi seguro que estamos hablando de agujeros de seguridad que pueden utilizarse, y ya se han utilizado, para implantar software esp\u00eda.<\/p>\n<p>Incluso si esto sugiere un ataque dirigido y, por lo tanto, que la mayor\u00eda de nosotros probablemente no seamos los receptores del mismo, implica que estos errores funcionan eficazmente en la vida real contra v\u00edctimas desprevenidas.<\/p>\n<p>En pocas palabras, se debe asumir que estas vulnerabilidades representan un peligro claro y presente, y no son s\u00f3lo agujeros de prueba de concepto o riesgos te\u00f3ricos.<\/p>\n<h2>\u00bfQu\u00e9 podemos hacer?<\/h2>\n<p>Como siempre, lo primero es mantener el sistema actualizado.<\/p>\n<p>Es posible que Apple ya le haya ofrecido la actualizaci\u00f3n.<\/p>\n<p>Si no lo ha estado, o se lo ofrecieron pero lo rechaz\u00f3 por el momento, le sugerimos que fuerce una verificaci\u00f3n de actualizaci\u00f3n lo antes posible.<\/p>\n<p>Las actualizaciones que hay que aplicar son:<\/p>\n<ul>\n<li><a href=\"https:\/\/support.apple.com\/kb\/HT213722\" rel=\"nofollow noopener\" target=\"_blank\"><strong>HT213722:<\/strong><\/a>\u00a0<em>Safari 16.4.1.\u00a0<\/em>Esto cubre CVE-2023-28205 (solo el error de WebKit) para Mac que ejecutan Big Sur y Monterey.\u00a0El parche no est\u00e1 empaquetado como una nueva versi\u00f3n del sistema operativo, por lo que el n\u00famero de versi\u00f3n de macOS no cambiar\u00e1.<\/li>\n<li><a href=\"https:\/\/support.apple.com\/kb\/HT213721\" rel=\"nofollow noopener\" target=\"_blank\"><strong>HT213721:<\/strong><\/a>\u00a0<em>macOS Ventura 13.3.1.\u00a0<\/em>Esto cubre ambos errores de la \u00faltima versi\u00f3n de macOS e incluye la actualizaci\u00f3n de Safari que se incluye por separado para usuarios de Mac m\u00e1s antiguas.<\/li>\n<li><a href=\"https:\/\/support.apple.com\/kb\/HT213720\" rel=\"nofollow noopener\" target=\"_blank\"><strong>HT213720:<\/strong><\/a>\u00a0iOS 16.4.1 y iPadOS 16.4.1.\u00a0Esto cubre ambos errores para iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.\u00aa generaci\u00f3n y posteriores, iPad de 5.\u00aa generaci\u00f3n y posteriores, y iPad mini de 5.\u00aa generaci\u00f3n y posteriores.<\/li>\n<\/ul>\n<p>Si todav\u00eda tienes iOS 15 o iPadOS 15,\u00a0<a href=\"https:\/\/nakedsecurity.sophos.com\/2023\/04\/10\/apple-zero-day-spyware-patches-extended-to-cover-older-macs-iphones-and-ipads\/\" target=\"_blank\" rel=\"noopener\">mira este espacio<\/a>\u00a0(o mantente atento al portal de seguridad\u00a0<a href=\"https:\/\/support.apple.com\/kb\/HT201222\" rel=\"nofollow noopener\" target=\"_blank\">HT201222<\/a>\u00a0de Apple ) en caso de que resulte que t\u00fa tambi\u00e9n necesitas una actualizaci\u00f3n.<\/p>\n<hr \/>\n<p><strong>Nota.\u00a0<\/strong>Los Mac, iPhone y iPad m\u00e1s antiguos que ejecutan iOS 15, iPadOS 15, macOS 11 y macOS 12 ahora se pueden acutalizar contra los dos errores descritos anteriormente. Consulte el <a href=\"https:\/\/nakedsecurity.sophos.com\/2023\/04\/10\/apple-zero-day-spyware-patches-extended-to-cover-older-macs-iphones-and-ipads\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo de seguimiento<\/a> de Sophos para obtener todos los detalles, incluidos los enlaces a los boletines de seguridad de Apple.<\/p>\n<div>\n<p>M\u00e1s info en <a href=\"https:\/\/news.sophos.com\/en-us\/2023\/04\/08\/apple-issues-emergency-patches-for-spyware-style-0-day-exploits-update-now\/\" target=\"_blank\" rel=\"noopener\">Sophos News<\/a>.<\/p>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Apple publica nuevos parches Los nuevos parches de emergencia son para exploits diarios y spyware Apple acaba de publicar una serie breve y precisa de correcciones de seguridad para Mac, iPhone y iPad El error fue reportado por Aminist\u00eda Internacional. Todas las versiones de macOS compatibles (Big Sur, Monterey y Ventura) tienen parches que debes [&hellip;]<\/p>\n","protected":false},"author":10,"featured_media":30454,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[147,148],"class_list":["post-30451","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria","tag-apple","tag-parches"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=30451"}],"version-history":[{"count":4,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30451\/revisions"}],"predecessor-version":[{"id":30457,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/30451\/revisions\/30457"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/30454"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=30451"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=30451"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=30451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}