Apple lanza actualizaciones urgentes para corregir 0-Day en iPhone y iPad

Apple lanz贸 este lunes una actualizaci贸n de seguridad para iOS y iPad con el fin de abordar una vulnerabilidad cr铆tica que al parecer, est谩 siendo explotada en la naturaleza, lo que la convierte en la vulnerabilidad de d铆a cero n煤mero 17 que la compa帽铆a ha abordado en sus productos desde inicio del a帽o.

La vulnerabilidad rastreada como CVE-2021-30883, se refiere a un problema de corrupci贸n de memoria en el componente 芦IOMobileFrameBuffer禄, que podr铆a permitir que una aplicaci贸n ejecute c贸digo arbitrario con privilegios del kernel. Al acreditar a un investigador an贸nimo por informar sobre la vulnerabilidad, Apple dijo que 芦est谩 al tanto de un informe de que este problema puede haber sido explotado activamente禄.

Los detalles t茅cnicos sobre la falla y la naturaleza de los ataques a煤n no est谩n disponibles, al igual que la identidad del actor de la naturaleza, para permitir que la mayor铆a de los usuarios apliquen el parche y evitar que otros adversarios utilicen la vulnerabilidad como arma. Apple dijo que abord贸 el problema mejorando el manejo de la memoria.

El investigador de seguridad Saar Amar comparti贸 detalles adicionales y un exploit de prueba de concepto (PoC), y dijo que 芦esta superficie de ataque es muy interesante porque es accesible desde la zona de pruebas de la aplicaci贸n (por lo que es excelente para los jailbreak) y muchos otros procesos, lo que lo convierte en un buen candidato para exploits de LPE en cadenas禄.

CVE-2021-30883 es tambi茅n el segundo IOMobileFrameBuffer de impacto de d铆a cero despu茅s de que Apple abordara un problema similar de corrupci贸n de memoria informado de forma an贸nima (CVE-2021-30807) en julio de 2021, lo que plantea la posibilidad de que las dos vulnerabilidades puedan estar relacionadas. Con la 煤ltima soluci贸n, la compa帽铆a ha resuelto un r茅cord de 17 vulnerabilidades 0-day hasta la fecha solo en 2021:

  • CVE-2021-1782 (Kernel): Una aplicaci贸n malintencionada puede elevar los privilegios
  • CVE-2021-1870 (Webkit): Un atacante remoto puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-1871 (Webkit): Un atacante remoto puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-1879 (Webkit): El procesamiento de contenido web creado con fines malintencionados puede generar secuencias de comandos universales entre sitios
  • CVE-2021-30657 (Preferencias del sistema): Una aplicaci贸n malintencionada puede eludir las comprobaciones de Gatekeeper
  • CVE-2021-30661 (Webkit Storage): El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30663 (Webkit): El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30665 (Webkit): El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30666 (Webkit): El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30713 (marco TCC): Una aplicaci贸n malintencionada puede ludir las preferencias de privacidad
  • CVE-2021-30761 (Webkit): El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30762 (Webkit): El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30807 (IOMobileFrameBuffer): Una aplicaci贸n puede ejecutar c贸digo arbitrario con privilegios del kernel
  • CVE-2021-30858 (webkit): El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30860 (CoreGraphics): El procesamiento de un PDF creado con fines malintencionados puede provocar la ejecuci贸n de c贸digo arbitrario
  • CVE-2021-30869 (XNU): Una aplicaci贸n maliciosa puede ejecutar c贸digo arbitrario con privilegios del kernel

Se recomienda a los usuarios de Apple que actualicen a la 煤ltima versi贸n (iOS 15.0.2 y iPad 15.0.2) para mitigar la vulnerabilidad.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *