Apple lanzó el miércoles parches de seguridad para abordar una nueva vulnerabilidad de día cero en iOS y iPadOS que, según dijo, estaba siendo explotada activamente en la naturaleza.
Seguimiento como CVE-2023-42824Un atacante local podría aprovechar esta vulnerabilidad del kernel para aumentar sus privilegios. El fabricante del iPhone dijo que abordó el problema con escaneos mejorados.
La compañía dijo: «Apple tiene conocimiento de un informe de que este problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.6». masculino En breves consejos.
Si bien actualmente se desconocen detalles adicionales sobre la naturaleza de los ataques y la identidad de los actores de amenazas que los cometen, la explotación exitosa probablemente dependerá de que el atacante ya haya logrado un punto de apoyo inicial por algún otro medio.
La última actualización de Apple también resuelve CVE-2023-5217 que afecta al componente WebRTC, que Google describió la semana pasada como un desbordamiento de búfer basado en montón en el formato de compresión VP8 en libvpx.
Los parches de iOS 17.0.3 y iPadOS 17.0.3 están disponibles para los siguientes dispositivos:
- iPhone XS y posterior
- iPad Pro de 12,9 pulgadas y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 6.ª generación y posteriores y iPad mini de 5.ª generación y posteriores
Con el nuevo desarrollo, Apple ha abordado un total de 17 días cero que fueron explotados activamente en su software desde principios de año.
También llega dos semanas después de que Cupertino implementara correcciones para resolver tres problemas (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993), de los cuales se decía que habían sido abusados por un proveedor de software espía israelí llamado El malware Cytrox Predator infectó el iPhone del ex miembro del parlamento egipcio Ahmed Tantawi a principios de este año.
El punto digno de mención aquí es que CVE-2023-41992 también se refiere a una falla en el kernel que permite a los atacantes locales lograr una escalada de privilegios.
No está claro de inmediato si existe alguna conexión entre las dos fallas y si CVE-2023-42824 es una anulación de parche de CVE-2023-41992.
En un análisis reciente, Sekoia dijo que, en diciembre de 2021, encontró similitudes de infraestructura entre los clientes de Cytrox (también conocido como Lycantrox) y otra empresa comercial de software espía llamada Candiru (también conocida como Karkadann), probablemente debido a su uso de tecnologías de software. Espionaje.
«La infraestructura utilizada por Lycantrox consiste en VPS alojados en varios sistemas independientes», dijo la empresa francesa de ciberseguridad. Él dijodonde cada cliente parece ejecutar sus propias instancias de VPS y administrar sus propios nombres de dominio asociados con ellas.
Se recomienda a los usuarios en riesgo de ser atacados que habiliten el modo de bloqueo para reducir la exposición al software espía mercenario.