Apple parchó las vulnerabilidades de día cero en dispositivos iOS. El miércoles, Apple lanzó actualizaciones de seguridad para iOS y iPadOS 17.0.3, abordando muchas vulnerabilidades de día cero.
Se han lanzado dos parches, CVE-2023-42824 y CVE-2023-5217, para abordar las vulnerabilidades en “iPhone XS y versiones posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas. 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 6.ª generación o posteriores y iPad mini de 5.ª generación o posteriores”.
Se desconoce si la corporación tropezó con las fallas por sí sola o si fue alertada por un tercero.
El problema de sobrecalentamiento del iPhone también se abordará en esta actualización. “Esta actualización proporciona importantes correcciones de errores y actualizaciones de seguridad y soluciona un problema que puede provocar que el iPhone se caliente más de lo esperado”, explicó Apple.
Otro problema que se ha solucionado es CVE-2023-5217, un desbordamiento del búfer en el componente WebRTC de código abierto que puede provocar fallas o incluso la ejecución de código malicioso si se explota. Los dispositivos podrían infectarse con software espía aprovechando este agujero.
La falla CVE-2023-5217, descubierta por el investigador del Google Threat Analysis Group (TAG) Clement Lecigne en septiembre, ha sido solucionada.
iOS es especialmente vulnerable a CVE-2023-42824. Un atacante podría adquirir acceso no autorizado al dispositivo e incluso podría lograr mayores niveles de acceso explotando esta falla.
“Apple está al tanto de un informe de que este problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.6”, dijo Apple sobre el agujero de seguridad.
Citizen Lab reveló dos vulnerabilidades de día cero, CVE-2023-41061 y CVE-2023-41064, en septiembre, y Apple las parchó el mismo mes.
Apple parchó CVE-2023-38606 en julio de 2023 y CVE-2023-32434 y CVE-2023-32435 en junio de 2023.
Apple parchó un segundo exploit de día cero de Webkit, CVE-2023-23529, en marzo.
