Apple advierte a sus usuarios de ataques críticos contra la memoria de los dispositivos
Según la compañía, las vulnerabilidades han sido aprovechadas para eludir las protecciones de la memoria del kernel.
Apple recomienda aplicar parches de inmediato contra dos vulnerabilidades críticas de día cero que los atacantes están utilizando para llevar a cabo amenazas de corrupción de memoria en sus dispositivos.
Rastreadas como CVE-2024-23225 y CVE-2024-23296, las vulnerabilidades permiten a atacantes con capacidades arbitrarias de lectura y escritura del kernel eludir las protecciones de la memoria del kernel en el kernel de iOS y RTKit (el sistema operativo en tiempo real de Apple), respectivamente. "Apple está al tanto de un informe que indica que este problema puede haber sido explotado", dijo Apple en una nota de parche, y agregó que "el problema de corrupción de memoria se solucionó con una validación mejorada".
Con este lanzamiento, Apple ha parcheado tres días cero este año, siendo el primero un problema de confusión de Webkit (CVE-2024-23222) parcheado en enero.
Parcheado en iOS 17.4 y iPadOS 17.4
Se han aplicado los parches necesarios en las últimas actualizaciones de software para iPhone y iPad con las versiones iOS 17.4 y iPadOS 17.4, respectivamente. Aunque la empresa se ha abstenido de revelar los detalles de las explotaciones conocidas o su descubrimiento, enumeró los dispositivos afectados para los que ahora están disponibles los parches. Estos incluyen iPhone XS y posteriores, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores y iPad mini de quinta generación. generación y posteriores.
Además, la compañía emitió parches para dispositivos que ya no son compatibles con iOS 17 y iPadOS 17, que incluyen iPhone 8, iPhone 8 Plus, iPhone X, iPad de quinta generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de primera generación. Las actualizaciones parcheadas para estos dispositivos son iOS 16.7.6 y iPadOS 16.7.6.
Además de los dos días cero, las versiones de iOS 17.4 y iPadOS 17.4 corrigieron un par de errores de privacidad, CVE-2024-23243 y CVE-2024-23256, ambos permitiendo el acceso a los datos privados de un usuario. Muchos errores de Apple se han utilizado como armas en el pasado, pocos con intereses de estados nacionales antes de que el fabricante del iPhone haya tenido tiempo de trabajar y aplicar un parche. El año pasado, los productos Apple sufrieron más de 20 días cero, siendo los más recientes los errores de robo de información que afectaron a Mac y iPad.
