Apple advierte sobre nuevos ataques Zero Day en iOS y macOS

El lunes Apple lanzó un cuarteto de actualizaciones no programadas para iOS, macOS y watchOS, agregando parches de seguridad a las fallas en su motor de navegador WebKit.

Apple ha emitido parches fuera de banda para problemas críticos de seguridad que afectan al iPad, iPhone y iPod, lo que podría permitir la ejecución remota de código (RCE) y otros ataques, comprometiendo completamente los sistemas de los usuarios. Y el gigante de la informática cree que es posible que todos ellos ya hayan sido explotados en la naturaleza. 

Tres de estos son defectos de día cero, mientras que uno es un parche ampliado para una cuarta vulnerabilidad. 

Los datos que divulga se pueden encontrar en su página de soporte. Aquí hay un resumen de los tres días cero: 

Errores de día cero en WebKit

  • CVE-2021-30665: Se solucionó un problema crítico de corrupción de memoria en el motor Safari WebKit en el que «el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario» mejorando la administración del estado. Disponible para: iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores, e iPod touch (séptima generación). El error fue informado a Apple por tres investigadores de seguridad, apodados yangkang, zerokeeper y bianliang. 
  • CVE-2021-30663: este segundo defecto también se encuentra en el motor del navegador WebKit de código abierto. Es un desbordamiento de enteros, informado por un investigador anónimo, que también puede conducir a RCE. Se solucionó con una validación de entrada mejorada. Disponible para: iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores, e iPod touch (séptima generación). 
  • CVE-2021-30666: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria. Disponible para: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación)

Y aquí hay detalles sobre el parche ampliado para el cuarto error: 

Almacenamiento WebKit

  • CVE-2021-30661: Se solucionó un problema de uso posterior a la versión gratuita con una administración de memoria mejorada. Disponible para: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación). Esta falla fue descubierta y reportada al fabricante del iPhone por el investigador de seguridad llamado yangkang, @dnpushme, de Qihoo 360 ATA.

La página de soporte de Apple muestra que este cuarto fue parcheado el lunes de la semana pasada (26 de abril) en iOS 14.5 y macOS 11.3, pero no en iOS 12.