Apple ha lanzado otra ronda de parches de seguridad para abordar tres vulnerabilidades "zero-day" que están siendo explotadas activamente en iOS, iPadOS, macOS, watchOS y Safari. Estas vulnerabilidades ponen en riesgo la seguridad de los dispositivos y sistemas operativos de Apple. Estas nuevas vulnerabilidades, se suma un total de 16 vulnerabilidades "zero-day" descubiertas en el software de Apple este año. A continuación, se presenta una lista de las vulnerabilidades de seguridad:

• CVE-2023-41991 - Un problema de validación de certificados en el framework de seguridad que podría permitir que una aplicación maliciosa evite la validación de firmas.

• CVE-2023-41992 - Una falla de seguridad en el Kernel que podría permitir a un atacante local elevar sus privilegios.

• CVE-2023-41993 - Una falla en WebKit que podría resultar en la ejecución de código arbitrario al procesar contenido web especialmente diseñado.
  

Estas vulnerabilidades representan una amenaza significativa para la seguridad de los dispositivos Apple, ya que podrían ser explotadas por actores maliciosos para realizar ataques dirigidos. Apple ha reconocido que estas vulnerabilidades podrían haber sido explotadas activamente en versiones anteriores de iOS.

Los parches de seguridad están disponibles para los siguientes dispositivos y sistemas operativos:

• iOS 16.7 y iPadOS 16.7: iPhone 8 y versiones posteriores, iPad Pro (todos los modelos), iPad Air 3ra generación y versiones posteriores, iPad 5ta generación y versiones posteriores y iPad mini 5ta generación y versiones posteriores.

• iOS 17.0.1 y iPadOS 17.0.1: iPhone XS y versiones posteriores, iPad Pro 12.9 pulgadas 2da generación y versiones posteriores, iPad Pro 10.5 pulgadas, iPad Pro 11 pulgadas 1ra generación y versiones posteriores, iPad Air 3ra generación y versiones posteriores, iPad 6ta generación y versiones posteriores, y iPad mini 5ta generación y versiones posteriores.

• macOS Monterey 12.7 y macOS Ventura 13.6.

• watchOS 9.6.3 y watchOS 10.0.1: Apple Watch Series 4 y versiones posteriores.

• Safari 16.6.1: macOS Big Sur y macOS Monterey.

Es esencial que los usuarios de dispositivos Apple actualicen sus sistemas operativos y aplicaciones a las versiones más recientes para protegerse contra estas vulnerabilidades.

Bill Marczak del Citizen Lab en la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas de Google (TAG) son los responsables de descubrir y reportar estas vulnerabilidades. Según los expertos, estas vulnerabilidades podrían haber sido utilizadas como parte de un spyware altamente dirigido contra miembros de la sociedad civil que están en mayor riesgo de amenazas cibernéticas.

Hace dos semanas, Apple resolvió otras dos vulnerabilidades "zero-day" explotadas activamente que fueron utilizadas en un exploit de iMessage llamado BLASTPASS para desplegar un spyware conocido como Pegasus. Tanto Google como Mozilla también lanzaron parches para solucionar una vulnerabilidad que podía resultar en la ejecución de código arbitrario al procesar imágenes.