Nueva vulnerabilidad de día cero en dispositivos Apple es explotada activamente

Apple lanzó este martes diversas actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una nueva vulnerabilidad de día cero que podría resultar en la ejecución de código malicioso. Rastreado como CVE-2022-42856, ha sido descrito por el gigante tecnológico como un problema de confusión de tipos en el motor […]

Apple lanzó este martes diversas actualizaciones de seguridad para iOS, iPadOS, macOS, tvOS y el navegador web Safari para abordar una nueva vulnerabilidad de día cero que podría resultar en la ejecución de código malicioso.

Rastreado como CVE-2022-42856, ha sido descrito por el gigante tecnológico como un problema de confusión de tipos en el motor del navegador WebKit que podría activarse al procesar contenido especialmente diseñado, lo que lleva a la ejecución de código arbitrario.

La compañía dijo que está “al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.1”.

Si bien aún se desconocen los detalles sobre la naturaleza exacta de los ataques, es probable que se tratara de casos de ingeniería social o un abrevadero para infectar los dispositivos al visitar un dominio falso -o legítimo- pero comprometido a través del navegador.

Vale la pena señalar que todos los navegadores web de terceros que están disponibles para iOS y iPadOS, incluidos Google Chrome, Mozilla Firefox y Microsoft Edge, deben usar el motor de renderizado WebKit debido a las restricciones impuestas por Apple.

Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, se atribuye el descubrimiento y la notificación del problema.

La actualización, que está disponible con iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 y Safari 16.2, llega dos semanas después de que Apple corrigiera el mismo error en iOS 16.1.2 el 30 de noviembre de 2022.

La solución marca la resolución de la décima vulnerabilidad de día cero descubierta en el software de Apple desde principios de año. También es la novena falla de día cero explotada activamente en 2022.

• CVE-2022-22587 (IOMobileFrameBuffer): una aplicación maliciosa puede ejecutar código arbitrario con privilegios de kernel.
  
• CVE-2022-22594 (Almacenamiento WebKit): un sitio web puede rastrear información confidencial del usuario (conocida públicamente pero no explotada activamente).
  
• CVE-2022-22620 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario.
  
• CVE-2022-22674 (controlador de gráficos Intel): una aplicación puede leer la memoria del kernel.
  
• CVE-2022-22675 (AppleAVD): una aplicación puede ejecutar código arbitrario con privilegios de kernel.
  
• CVE-2022-32893 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario.
  
• CVE-2022-32894 (Kernel): una aplicación puede ejecutar código arbitrario con privilegios de kernel.
  
• CVE-2022-32917 (Kernel): una aplicación puede ejecutar código arbitrario con privilegios de kernel.
  
• CVE-2022-42827 (Kernel): una aplicación puede ejecutar código arbitrario con privilegios de kernel.
  
• Las últimas actualizaciones de iOS, iPadOS y macOS también presentan una nueva función de seguridad llamada Protección de datos avanzada para iCloud que amplía el cifrado de extremo a extremo (E2EE) a ‌iCloud‌ Backup, Notes, Photos y más.