Apple ha implementado actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS, watchOS y Safari para abordar múltiples vulnerabilidades de seguridad, incluyendo un fallo de día cero que está siendo aprovechado activamente.
Conocido como CVE-2023-38606, este problema se encuentra en el núcleo del sistema y permite que una aplicación maliciosa modifique información sensible del mismo. La empresa ha solucionado esta vulnerabilidad mediante una mejor gestión del estado del núcleo.
«Apple tiene conocimiento de un informe que indica que esta vulnerabilidad podría haber sido aprovechada activamente en versiones anteriores a iOS 15.7.1», señaló el gigante tecnológico en su comunicado.
Es importante destacar que CVE-2023-38606 es la tercera vulnerabilidad de seguridad descubierta en relación con la Operación Triangulación, una sofisticada campaña de ciberespionaje móvil dirigida a dispositivos iOS desde 2019 utilizando una cadena de exploits sin necesidad de interacción del usuario. Las otras dos vulnerabilidades de día cero, CVE-2023-32434 y CVE-2023-32435, fueron corregidas por Apple el mes pasado.
Los investigadores de Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko y Boris Larin, han sido reconocidos por descubrir e informar sobre la falla.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 16.6 y iPadOS 16.6: iPhone 8 en adelante, iPad Pro (todos los modelos), iPad Air 3ra generación en adelante, iPad 5ta generación en adelante y iPad mini 5ta generación en adelante.
- iOS 15.7.8 y iPadOS 15.7.8: iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1ra generación), iPad Air 2, iPad mini (4ta generación) e iPod touch (7ma generación).
- macOS Ventura 13.5, macOS Monterey 12.6.8 y macOS Big Sur 11.7.9.
- tvOS 16.6: Apple TV 4K (todos los modelos) y Apple TV HD.
- watchOS 9.6: Apple Watch Series 4 en adelante.
Con la última serie de parches, Apple ha resuelto un total de 11 errores de día cero que afectaban su software desde principios de 2023. Esto también ocurre dos semanas después de que la compañía publicara correcciones de emergencia para un error activamente explotado en WebKit que podría llevar a la ejecución arbitraria de código (CVE-2023-37450).
