Madrid, España, 1 de abril de 2022. Apple lanzó correcciones para dos vulnerabilidades críticas de día cero en sus dispositivos, que ofrecían a los atacantes la posibilidad de acceder a partes internas de su sistema operativo y robar información.
Son considerados ataques de día cero aquellos fallos para los que no existe un parche determinado debido a que los desarrolladores desconocían su existencia antes de que la vulnerabilidad fuera explotada.
Concretamente, Apple lanzó las actualizaciones de seguridad para macOS Monterey 12.3.1 y 15.4.1 para iOS e iPadOS, que lograron corregir los fallos reconocidos como CVE-2022-22674 y CVE-2022-22675.
Según indicó Apple en su página de soporte, la primera vulnerabilidad, CVE-2022-22674, que reside en macOS Monterey, deriva de un problema de lectura fuera de los límites del sistema.
Eso puede conducir al libre acceso a la memoria del kernel, lo que brinda a los piratas informáticos la capacidad de ejecutar código malicioso. En este caso, se solucionó mejorando la validación de entrada.
Por otro lado, CVE-2022-22675 afecta tanto a macOS Monterey como a iOS 15.4.1 y iPadOS 15.4.1, esto es, a iPhone 6s y modelos posteriores, todos los modelos de iPad Pro, iPad Air 2 y posteriores, iPad de 5ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch de 7ª generación.
El impacto en este caso fue que una aplicación podía ejecutar código arbitrario con privilegios kernel, debido a un problema de escritura fuera de los límites.
En este caso, el fabricante tecnológico, que reconoció haber explotado de forma activa ambas vulnerabilidades, le dio solución mejorando la verificación de los límites.
Conviene recordar que estas Apple lanzó otro parche de seguridad con las versiones iOS 15.3.1 e iPadOS 15.3.1 el pasado mes de febrero para corregir una vulnerabilidad (CVE-2022-22620) hallada en el motor del navegador web WebKit.
Además, a finales de enero el fabricante implementó otro parche de seguridad para frenar las filtraciones de información confidencial de los usuarios.
Lo hizo con una tercera actualización de iOS 15.3. y iPadOS 15.3, con la que solucionó una vulnerabilidad en la interfaz de programación de aplicaciones (API) IndexedDB, tanto en su navegador en su navegador web nativo como en cualquier otro que utilice WebKit en iOS 15 e iPadOS 15.
Texto: Portaltic/EP
