Site icon Sophos News

Apple publica parches de emergencia para exploits día cero de tipo spyware: ¡actualiza ya!

Apple acaba de publicar una serie de correcciones de seguridad para Macs, iPhones y iPads.

Todas las versiones compatibles de macOS (Big Sur, Monterey y Ventura) tienen parches que debes instalar, pero de momento, solo las versiones móviles iOS 16 y iPadOS 16 tienen actualizaciones disponibles.

Como siempre, aún no podemos decirte si los usuarios de iOS 15 y iPadOS 15 con dispositivos más antiguos están a salvo y, por tanto, no necesitan un parche, si están en riesgo o si son potencialmente vulnerables recibirán un parche en los próximos días, pero de momento, se van a quedar al margen.

En estas actualizaciones se abordan dos fallos diferentes. Lo importante es que ambas vulnerabilidades se describen no solo como que pueden conllevar a la “ejecución arbitraria de código”, sino también como “explotadas activamente”, lo que las convierte en agujeros de día cero.

Ataca tu navegador y después el kernel

Las vulnerabilidades son:

Irónicamente, los fallos a nivel de kernel que dependen de una aplicación trampa no suelen ser muy útiles por sí solos contra los usuarios de iPhone o iPad, porque las estrictas normas de “jardín amurallado” de la App Store de Apple dificultan que los atacantes te engañen instalando una aplicación falsa.

No puedes salirte del mercado e instalar aplicaciones de una fuente secundaria o no oficial, aunque quieras, así que los delincuentes tendrían que colar primero su aplicación falsa en la App Store antes de intentar convencerte para que la instales.

Pero cuando los atacantes pueden combinar un fallo remoto en el navegador con un agujero local en el kernel, pueden eludir por completo el problema de la App Store.

Esa es aparentemente la situación aquí, donde el primer fallo (CVE-2023-28205) permite a los atacantes tomar el control de la aplicación del navegador de tu teléfono de forma remota y entonces tienen una aplicación trampa que pueden utilizar para explotar el segundo fallo (CVE-2023-28206) y apoderarse de todo tu dispositivo.

Y recuerda que, dado que todas las aplicaciones del App Store para ver páginas web deben utilizar WebKit, el fallo CVE-2023-28205 te afecta incluso si has instalado un navegador de terceros que utilizas en lugar de Safari.

Reportado por activistas

Lo preocupante de ambos fallos no es solo que son agujeros de día cero, lo que significa que los atacantes los encontraron y ya los estaban utilizando antes de que se ideara ningún parche, sino también que fueron denunciados por “Clément Lecigne, del Grupo de Análisis de Amenazas de Google, y Donncha Ó Cearbhaill, del Laboratorio de Seguridad de Amnistía Internacional”.

Apple no da más detalles, pero no es difícil suponer que este fallo fue detectado por activistas de Amnistía, e investigado por los responsables de la respuesta a incidentes de Google.

Si es así, es casi seguro que estamos hablando de agujeros de seguridad que pueden utilizarse, y ya se han utilizado, para implantar programas espía.

Aunque esto sugiere que se trata de un ataque selectivo y, por tanto, que no es probable que la mayoría de nosotros seamos sus destinatarios, implica que estos fallos funcionan eficazmente en la vida real contra víctimas desprevenidas.

En pocas palabras, debes asumir que estas vulnerabilidades representan un peligro claro y presente, y no son meros agujeros de prueba de concepto o riesgos teóricos.

¿Qué hay que hacer?

¡Actualiza ya!

Es posible que Apple ya te haya ofrecido la actualización; si no lo ha hecho, o te la ofreció pero la rechazaste por el momento, te sugerimos que fuerces una comprobación de la actualización tan pronto como puedas.

Las actualizaciones disponibles son

Si sigues con iOS 15 o iPadOS 15, estate atento a este espacio (o permanece atento al portal de seguridad HT201222 de Apple) por si resulta que tú también necesitas una actualización.

Exit mobile version