Actualización de emergencia Apple iOS 15.0.2 corrige zero day explotado en ataques

Apple ha lanzado iOS 15.0.2 y iPadOS 15.0.2 para corregir una vulnerabilidad de día cero que se explota activamente en ataques dirigidos a teléfonos y iPads.

Esta vulnerabilidad, registrada como CVE-2021-30883, es un error crítico de corrupción de memoria en IOMobileFrameBuffer que permite que una aplicación ejecute comandos en dispositivos vulnerables con privilegios del kernel.

Como los privilegios del kernel permiten que la aplicación ejecute cualquier comando en el dispositivo, los actores de amenazas podrían potencialmente usarlo para robar datos o instalar más malware.

Si bien Apple no ha proporcionado ningún detalle sobre cómo se usó esta vulnerabilidad en los ataques, afirman que hay informes de que se usa activamente en los ataques.

«Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», dijo la compañía en un aviso de seguridad publicado hoy.

Apple deliberadamente mantiene vagos los informes de vulnerabilidad para asegurarse de que la actualización se aplique a tantos dispositivos como sea posible antes de que otros actores de amenazas puedan conocer los detalles o aplicar ingeniería inversa al parche para crear sus propios exploits.

Sin embargo, poco después de que se liberó la vulnerabilidad, el investigador de seguridad Saar Amar publicó un informe técnico y un exploit de prueba de concepto que se derivó de la ingeniería inversa del parche.

La lista de dispositivos afectados es bastante extensa y afecta a modelos más antiguos y nuevos, incluidos iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores, e iPod touch ( Séptima eneración).

Si bien es posible que la vulnerabilidad se use en ataques dirigidos y no se use ampliamente, se recomienda encarecidamente instalar la actualización lo antes posible debido a su gravedad.

Además del día cero de hoy, Apple ha solucionado lo que parece un flujo interminable de vulnerabilidades de día cero utilizadas en ataques contra dispositivos iPhone, iPads y macOS:

  • Dos días cero a principios de este mes, uno de ellos también se utilizó para instalar el software espía Pegasus en iPhones.
  • El exploit FORCEDENTRY revelado en agosto (previamente rastreado por Amnesty Tech como Megalodon).
  • Tres días cero de iOS (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) en febrero.
  • Un día cero de iOS (CVE-2021-1879) en marzo que también puede haber sido explotado activamente.
  • Un día cero en iOS (CVE-2021-30661) y uno en macOS (CVE-2021-30657) en abril, explotado por el malware Shlayer.
  • Otros tres días cero de iOS (CVE-2021-30663, CVE-2021-30665 y CVE-2021-30666) en mayo, errores que permiten la ejecución de código remoto arbitrario (RCE) simplemente visitando sitios web maliciosos,
  • Un macOS zero-day (CVE-2021-30713) en mayo, que fue abusado por el malware XCSSET para eludir la protección de privacidad TCC de Apple,
  • Dos errores de día cero de iOS (CVE-2021-30761 y CVE-2021-30762) en junio que «pueden haber sido explotados activamente» para piratear dispositivos iPhone, iPad y iPod más antiguos.
  • El mes pasado, un investigador reveló públicamente las vulnerabilidades de tres vulnerabilidades de día cero después de que Apple retrasó el parche y no dio crédito a la persona que las informó.

Vía BleepingComputer.