Los investigadores del Grupo de Análisis de Amenazas de Google han estado más ocupados que nunca, con descubrimientos que llevaron a la revelación de tres vulnerabilidades de alto riesgo con explotación activa en los sistemas operativos de Apple y el navegador Chrome en 48 horas.
manzana el jueves Él dijo Estaba lanzando actualizaciones de seguridad para corregir dos vulnerabilidades encontradas en iOS, macOS y iPadOS. Ambos están en WebKit, el motor que impulsa Safari y una amplia gama de otras aplicaciones, incluido Apple Mail, App Store y todos los navegadores que se ejecutan en iPhones y iPads. Si bien la actualización se aplica a todas las versiones compatibles de los sistemas operativos de Apple, la divulgación del jueves apunta a ataques internos que explotan vulnerabilidades que apuntaban a versiones anteriores de iOS.
«Apple tiene conocimiento de un informe de que este problema puede haber sido explotado en versiones de iOS anteriores a iOS 16.7.1», escribieron funcionarios de Apple sobre ambas vulnerabilidades, que se rastrean como CVE-2023-42916 y CVE-2023-42917.
CVE-2023-42916 es una lectura fuera de límites que permite a los piratas informáticos obtener información confidencial cuando las aplicaciones habilitadas para WebKit procesan contenido especialmente diseñado a través de Internet. CVE-2023-42917 es una falla de corrupción de memoria que hace que los dispositivos vulnerables ejecuten código malicioso al procesar contenido generado por piratas informáticos de una aplicación WebKit. Apple le dio crédito a Clément Lecigne de TAG por descubrir ambas vulnerabilidades. Ni Apple ni Google proporcionaron detalles sobre los ataques de día cero.
Google el martes Él dijo Estaba lanzando una actualización que solucionó siete vulnerabilidades en Chrome, una de las cuales era Zeroday, lo que significa que Google se enteró después de que los exploits ya estuvieran disponibles. Google no proporcionó ningún detalle adicional sobre el Día Cero.
El error, identificado como CVE-2023-6345, se debe a un desbordamiento de enteros, una clase común de vulnerabilidad que permite a los piratas informáticos ejecutar código malicioso cuando los objetivos procesan contenido especialmente diseñado. La vulnerabilidad radica en el componente Skia del navegador. Google le dio crédito a Benoît Sevens y Clément Lecigne de TAG por informar sobre la vulnerabilidad.
Las actualizaciones de Apple y Google se envían automáticamente a los dispositivos afectados. Las actualizaciones se instalan cuando los usuarios reinician sus dispositivos o reinician su navegador. Es probable que los usuarios reciban notificaciones si ha pasado suficiente tiempo sin reiniciar. Los usuarios de iOS, macOS y iPadOS pueden instalar actualizaciones manualmente accediendo a la configuración del sistema y seleccionando la pestaña General. Para instalar manualmente una actualización de Chrome, seleccione los tres puntos verticales en la parte superior derecha de la ventana y luego elija Actualizar.