Apple ha reportado varias vulnerabilidades, incluyendo algunas de tipo 0-day, la explotación de estas vulnerabilidades podrían permitir a un actor malicioso ejecutar código arbitrario (RCE), descifrar textos cifrados resguardados en el sistema afectado acceder a información sensible como datos biométricos del usuario en el dispositivo afectado, , omitir preferencias de seguridad o leer archivos arbitrarios.
CVE-2024-23222: Fallo de confusión de tipos en el procesamiento de contenido web malicioso.
CVE-2023-42916: Lectura fuera de límites en el procesamiento de contenido web.
CVE-2023-42917: Vulnerabilidad de corrupción de memoria en el procesamiento de contenido web.
Productos afectados:
- tvOS 17.3
- Safari 17.3
- macOS Monterey 12.7.3
- macOS Ventura 13.6.4
- iOS 17.3 e iPadOS 17.3
- watchOS 10.3
- macOS Sonoma 14.3
- iOS 15.8.1 e iPadOS 15.8.1
- iOS 16.7.5 e iPadOS 16.7.5
Impacto:
Estas vulnerabilidades podrían permitir a un actor malicioso realizar acciones como ejecutar código arbitrario(RCE), acceder a información sensible y robar datos biométricos de usuarios.
Recomendación:
Se recomienda a los usuarios y administradores de sistemas aplicar las últimas actualizaciones disponibles para los productos afectados desde las páginas oficiales de Apple.
Referencia:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-apple-2
- https://nvd.nist.gov/vuln/detail/CVE-2024-23222
- https://nvd.nist.gov/vuln/detail/CVE-2023-42916
- https://nvd.nist.gov/vuln/detail/CVE-2023-42917