Múltiples vulnerabilidades de día cero (0-day) en productos de Apple

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades de día cero (0-day) que afectan a productos de Apple, que permitirían a un atacante realizar ejecución de código arbitrario con privilegios de kernel en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 3 (tres) sin severidad asignada aún. Las mismas se detallan a continuación: 

• CVE-2023-32434 sin severidad ni puntuación asignada aún. Esta vulnerabilidad de día cero (0-day) explotada activamente del tipo integer overflow se debe a una falla de validación de datos de entrada en el componente kernel de Apple. Un atacante podría realizar ejecución de código arbitrario con privilegios de kernel en los productos afectados. 

• CVE-2023-32435 sin severidad ni puntuación asignada aún. Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a una falla de gestión de memoria en el componente WebKit de Apple. Un atacante a través de un sitio web especialmente diseñado podría provocar corrupción de memoria y así realizar ejecución de código arbitrario en los productos afectados. 

• CVE-2023-32439, sin severidad ni puntuación asignada aún. Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a un problema en el procesamiento de contenido (type confusion) en el componente WebKit en productos Apple. Un atacante podría a través de un sitio web especialmente diseñado provocar ejecución de código arbitrario en los productos afectados. 

Los productos afectados de Apple son:  

• Safari, versiones anteriores a 16.5.1 
• iOS, versiones anteriores a 16.5.1 
• iPadOS, versiones anteriores a 16.5.1 
• iOS, versiones anteriores a 15.7.7 
• iPadOS, versiones anteriores a 15.7.7 
• macOS Ventura, versiones anteriores a 13.4.1 
• macOS Monterey, versiones anteriores a 12.6.7 
• macOS Big Sur, versiones anteriores a 11.7.8 
• watchOS, versiones anteriores a 9.5.2 
• watchOS, versiones anteriores a 8.8.1 

Recomendamos instalar las actualizaciones correspondientes para cada producto afectado provistas por el fabricante, mediante los siguientes enlaces: 

• iPhone o iPad 
• macOS 
• Apple Watch 

Referencias: 

• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-0day-en-productos-de-apple 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32434 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32435 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32439  
• https://support.apple.com/es-es/HT213811  
• https://support.apple.com/es-es/HT204204 
• https://support.apple.com/es-es/HT201541 
• https://support.apple.com/es-es/HT204641