Apple iOS 14.5 parcha 50 vulnerabilidades de seguridad

Apple envió el lunes la tan esperada actualización de iOS y iPadOS 14.5 con parches para al menos 50 vulnerabilidades de seguridad documentadas.

El parche, que actualmente se está implementando a través del mecanismo de actualización automática de iOS y iPadOS, incluye una cobertura para una vulnerabilidad de WebKit que Apple cree que los atacantes pueden haber explotado en la naturaleza.

Según Apple, la más grave de las 50 fallas documentadas (CVE-2021-30661) es un error de corrupción de memoria de uso después de la liberación en WebKit Storage.

“El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario. Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”, dijo la compañía en un aviso.

La compañía no proporcionó detalles adicionales sobre el informe de explotación activa más allá de una línea en la que se reconoce a un investigador de un laboratorio de investigación de seguridad chino por el descubrimiento.

El lanzamiento de iOS y iPadOS 14.5 también corrige múltiples vulnerabilidades de «ejecución de código arbitrario» de alto riesgo en una variedad de componentes del sistema operativo móvil, incluidos errores en FontParser e ImageIO.

Una observación interesante de este lanzamiento de mega-parche es el volumen de vulnerabilidades reportadas por investigadores adjuntos a empresas chinas y laboratorios de investigación de seguridad.

Actualización de seguridad  para corregir una falla de seguridad de los dispositivos iPhone, iPad y Apple Watch

El nuevo iOS 14.4.2 fue lanzado el viernes, como es habitual, la empresa no proporcionó detalles adicionales sobre los potenciales ataques.

Un breve aviso describe el problema:

Impacto: el procesamiento de contenido web creado con fines malintencionados puede generar secuencias de comandos universales entre sitios. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

La compañía le dio crédito a un par de investigadores del TAG (Threat Analysis Group) de Google por informar el problema, lo que sugiere que esto puede estar vinculado a una ola de campañas APT de alta gama documentadas por la unidad Project Zero de Google.

Desde enero de 2020, Apple ha lanzado parches para al menos 7 ataques de día cero en estado salvaje documentados, en su mayoría lanzados por actores de amenazas respaldados por estados nacionales.