Apple ha lanzado actualizaciones de seguridad con soluciones a múltiples vulnerabilidades en varios productos de software destacados y advirtió que los actores malintencionados podrían explotar estos errores para la ejecución remota de código (RCE).
“Safari” destaca entre los productos afectos y puede ser considerado como el más crítico debido a que se encuentra instalado como navegador principal en todos sus productos y podría verse expuesto a ataques de ejecución remota de código (RCE). Las vulnerabilidades más importantes que lo afectan (CVE-2021-30934, CVE-2021-30954 y CVE-2021-30984). A continuación, se detallan las vulnerabilidades:
- CVE-2021-30934 de severidad media, con una puntuación temporal de 6.0. Esta vulnerabilidad se debe a un fallo en el componente WebKit (el motor de búsqueda) mediante un input desconocido. Un atacante podría ocasionar un desbordamiento de búfer que le permitiría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2021-30954 de severidad media, con una puntuación temporal de 6.0. Esta vulnerabilidad se debe a un fallo en el componente WebKit (el motor de búsqueda) mediante un input desconocido. Un atacante podría ocasionar un escalamiento de privilegios que le permitiría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2021-30984 de severidad media, con una puntuación temporal de 6.0. Esta vulnerabilidad se debe a un fallo en el componente WebKit (el motor de búsqueda) mediante un input desconocido. Un atacante podría ocasionar un ataque de race condition que le permitiría realizar ejecución remota de código (RCE) en el sistema afectado.
Apple adicionalmente publicó correcciones de seguridad para sus productos iOS, iPadOS, MacOS Monterer 12, MacOS Big Sur 11, MacOS Catalina 10.15, tvOS y watchOS.
Se puede acceder al listado completo de las vulnerabilidades resueltas por Apple aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por Apple, siguiendo los pasos descritos en las siguientes guías:
- iOS y iPadOS: https://support.apple.com/es-es/HT204204
- MacOS: https://support.apple.com/es-es/HT201541
- tvOS: https://support.apple.com/es-es/HT202716
- watchOS: https://support.apple.com/es-es/HT204641
- Safari: https://support.apple.com/es-es/HT202180
Referencias:
- https://www.cisa.gov/uscert/ncas/current-activity/2021/12/14/apple-releases-security-updates-multiple-products
- https://support.apple.com/es-es/HT201222
- https://nvd.nist.gov/vuln/detail/CVE-2021-30984
- https://vuldb.com/es/?id.188600
- https://nvd.nist.gov/vuln/detail/CVE-2021-30954
- https://vuldb.com/es/?id.188602
- https://nvd.nist.gov/vuln/detail/CVE-2021-30934
- https://vuldb.com/es/?id.188647