Apple acaba de publicar una serie de correcciones de seguridad para Macs, iPhones y iPads.
Todas las versiones compatibles de macOS (Big Sur, Monterey y Ventura) tienen parches que debes instalar, pero de momento, solo las versiones móviles iOS 16 y iPadOS 16 tienen actualizaciones disponibles.
Como siempre, aún no podemos decirte si los usuarios de iOS 15 y iPadOS 15 con dispositivos más antiguos están a salvo y, por tanto, no necesitan un parche, si están en riesgo o si son potencialmente vulnerables recibirán un parche en los próximos días, pero de momento, se van a quedar al margen.
En estas actualizaciones se abordan dos fallos diferentes. Lo importante es que ambas vulnerabilidades se describen no solo como que pueden conllevar a la “ejecución arbitraria de código”, sino también como “explotadas activamente”, lo que las convierte en agujeros de día cero.
Ataca tu navegador y después el kernel
Las vulnerabilidades son:
- CVE-2023-28205: un agujero de seguridad en WebKit, por el que la mera visita a un sitio web trampa podría dar a los ciberdelincuentes el control de tu navegador o, de hecho, de cualquier aplicación que utilice WebKit para renderizar y mostrar contenido HTML. (WebKit es el subsistema de visualización de contenido web de Apple.) Muchas aplicaciones utilizan WebKit para mostrarte vistas previas de páginas web, mostrar texto de ayuda o incluso para generar una pantalla “Acerca de” atractiva. El propio navegador Safari de Apple utiliza WebKit, por lo que es directamente vulnerable a los fallos de WebKit. Además, las normas de la App Store de Apple implican que todos los navegadores de los iPhones y iPads deben utilizar WebKit, lo que convierte este tipo de fallo en un verdadero problema entre navegadores para los dispositivos móviles de Apple.
- CVE-2023-28206: un fallo en el código de visualización IOSurfaceAccelerator de Apple. Este fallo permite a una aplicación local maliciosa inyectar su propio código no autorizado en el propio núcleo del sistema operativo. Los fallos de ejecución de código del núcleo son inevitablemente mucho más graves que los fallos a nivel de aplicación, porque el núcleo es responsable de gestionar la seguridad de todo el sistema, incluidos los permisos que pueden adquirir las aplicaciones y la libertad con que estas pueden compartir archivos y datos entre sí.
Irónicamente, los fallos a nivel de kernel que dependen de una aplicación trampa no suelen ser muy útiles por sí solos contra los usuarios de iPhone o iPad, porque las estrictas normas de “jardín amurallado” de la App Store de Apple dificultan que los atacantes te engañen instalando una aplicación falsa.
No puedes salirte del mercado e instalar aplicaciones de una fuente secundaria o no oficial, aunque quieras, así que los delincuentes tendrían que colar primero su aplicación falsa en la App Store antes de intentar convencerte para que la instales.
Pero cuando los atacantes pueden combinar un fallo remoto en el navegador con un agujero local en el kernel, pueden eludir por completo el problema de la App Store.
Esa es aparentemente la situación aquí, donde el primer fallo (CVE-2023-28205) permite a los atacantes tomar el control de la aplicación del navegador de tu teléfono de forma remota y entonces tienen una aplicación trampa que pueden utilizar para explotar el segundo fallo (CVE-2023-28206) y apoderarse de todo tu dispositivo.
Y recuerda que, dado que todas las aplicaciones del App Store para ver páginas web deben utilizar WebKit, el fallo CVE-2023-28205 te afecta incluso si has instalado un navegador de terceros que utilizas en lugar de Safari.
Reportado por activistas
Lo preocupante de ambos fallos no es solo que son agujeros de día cero, lo que significa que los atacantes los encontraron y ya los estaban utilizando antes de que se ideara ningún parche, sino también que fueron denunciados por “Clément Lecigne, del Grupo de Análisis de Amenazas de Google, y Donncha Ó Cearbhaill, del Laboratorio de Seguridad de Amnistía Internacional”.
Apple no da más detalles, pero no es difícil suponer que este fallo fue detectado por activistas de Amnistía, e investigado por los responsables de la respuesta a incidentes de Google.
Si es así, es casi seguro que estamos hablando de agujeros de seguridad que pueden utilizarse, y ya se han utilizado, para implantar programas espía.
Aunque esto sugiere que se trata de un ataque selectivo y, por tanto, que no es probable que la mayoría de nosotros seamos sus destinatarios, implica que estos fallos funcionan eficazmente en la vida real contra víctimas desprevenidas.
En pocas palabras, debes asumir que estas vulnerabilidades representan un peligro claro y presente, y no son meros agujeros de prueba de concepto o riesgos teóricos.
¿Qué hay que hacer?
¡Actualiza ya!
Es posible que Apple ya te haya ofrecido la actualización; si no lo ha hecho, o te la ofreció pero la rechazaste por el momento, te sugerimos que fuerces una comprobación de la actualización tan pronto como puedas.
Las actualizaciones disponibles son
- HT213722: Safari 16.4.1. Cubre CVE-2023-28205 (solo el fallo de WebKit) para los Mac que ejecutan Big Sur y Monterey. El parche no está empaquetado como una nueva versión del propio sistema operativo, por lo que tu número de versión de macOS no cambiará.
- HT213721: macOS Ventura 13.3.1. Cubre los dos errores de la última versión de macOS e incluye la actualización de Safari que se ha incluido por separado para los usuarios de Mac antiguos.
- HT213720: iOS 16.4.1 y iPadOS 16.4.1. Esto cubre ambos errores para iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3ª generación y posteriores, iPad de 5ª generación y posteriores, y iPad mini de 5ª generación y posteriores.
Si sigues con iOS 15 o iPadOS 15, estate atento a este espacio (o permanece atento al portal de seguridad HT201222 de Apple) por si resulta que tú también necesitas una actualización.