Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades de día cero (0-day) que afectan a productos de Apple, que permitirían a un atacante realizar ejecución de código arbitrario con privilegios de kernel en el sistema afectado.
Las vulnerabilidades reportadas se componen de 3 (tres) sin severidad asignada aún. Las mismas se detallan a continuación:
- CVE-2023-32434 sin severidad ni puntuación asignada aún. Esta vulnerabilidad de día cero (0-day) explotada activamente del tipo integer overflow se debe a una falla de validación de datos de entrada en el componente kernel de Apple. Un atacante podría realizar ejecución de código arbitrario con privilegios de kernel en los productos afectados.
- CVE-2023-32435 sin severidad ni puntuación asignada aún. Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a una falla de gestión de memoria en el componente WebKit de Apple. Un atacante a través de un sitio web especialmente diseñado podría provocar corrupción de memoria y así realizar ejecución de código arbitrario en los productos afectados.
- CVE-2023-32439, sin severidad ni puntuación asignada aún. Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a un problema en el procesamiento de contenido (type confusion) en el componente WebKit en productos Apple. Un atacante podría a través de un sitio web especialmente diseñado provocar ejecución de código arbitrario en los productos afectados.
Los productos afectados de Apple son:
- Safari, versiones anteriores a 16.5.1
- iOS, versiones anteriores a 16.5.1
- iPadOS, versiones anteriores a 16.5.1
- iOS, versiones anteriores a 15.7.7
- iPadOS, versiones anteriores a 15.7.7
- macOS Ventura, versiones anteriores a 13.4.1
- macOS Monterey, versiones anteriores a 12.6.7
- macOS Big Sur, versiones anteriores a 11.7.8
- watchOS, versiones anteriores a 9.5.2
- watchOS, versiones anteriores a 8.8.1
Recomendamos instalar las actualizaciones correspondientes para cada producto afectado provistas por el fabricante, mediante los siguientes enlaces:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-0day-en-productos-de-apple
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32434
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32435
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32439
- https://support.apple.com/es-es/HT213811
- https://support.apple.com/es-es/HT204204
- https://support.apple.com/es-es/HT201541
- https://support.apple.com/es-es/HT204641