Apple resuelve 2 vulnerabilidades de día cero de iOS que se utilizan activamente en ataques

Hoy, Apple lanzó actualizaciones de seguridad que abordan dos vulnerabilidades de día cero de iOS explotadas activamente en el motor Webkit utilizado por los piratas informáticos para atacar iPhones, iPads, iPods, macOS y dispositivos Apple Watch.

"Apple tiene conocimiento de un informe de que este problema puede haber sido explotado activamente", dijo la compañía. Ella dijo además de los avisos de seguridad publicados hoy.

Webkit es el motor de renderizado del navegador de Apple que deben utilizar todos los navegadores web móviles en iOS y otras aplicaciones que renderizan HTML, como Apple Mail y App Store.

Estas vulnerabilidades se rastrean como CVE-2021-30665 y CVE-2021-30663 y ambas permiten la ejecución de código remoto arbitrario (RCE) en dispositivos vulnerables simplemente visitando un sitio web malicioso.

Las vulnerabilidades de RCE se consideran las más peligrosas, ya que permiten a los atacantes apuntar a dispositivos vulnerables y ejecutar comandos en ellos de forma remota.

CVE-2021-30665 fue descubierto por Yang Kang, zerokeeper y Bian Liang de Qihoo 360 ATA, mientras que CVE-2021-30663 fue informado a Apple por un investigador que desea permanecer en el anonimato.

La lista de dispositivos afectados incluye:

  • iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores, e iPod touch (séptima generación)
  • macOS Big Sur
  • Apple Watch Series 3 y posterior

Los días cero fueron abordados por Apple hoy en iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, y el watchOS 7.4.1 actualizaciones.

iOS 14.5.1
Actualización de IOS 14.5.1

Esta actualización también corrigió un error que impedía a los usuarios ver las indicaciones de transparencia de seguimiento de aplicaciones dentro de las aplicaciones.

"Esta actualización resuelve un problema con la Transparencia de seguimiento de aplicaciones donde algunos usuarios que previamente desactivaron Permitir que las aplicaciones soliciten seguimiento en la Configuración pueden no recibir avisos de las aplicaciones después de volver a activarlo", dijo Apple en sus notas de la versión de iOS 14.5.

Apple ha estado lidiando con una serie de vulnerabilidades de día cero explotadas activamente en los últimos meses, una de ellas corregida en macOS el mes pasado y muchas otras vulnerabilidades de iOS corregidas en meses anteriores.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir