• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Apple parchea varios zero-day que afectan a iPhone y Mac

Apple parchea varios zero-day que afectan a iPhone y Mac

24 septiembre, 2021 Por Javier Aranda Dejar un comentario

Apple ha lanzado una actualización de seguridad para corregir múltiples vulnerabilidades de día cero en dispositivos iPhone y Mac.

Una de las vulnerabilidades, identificada como CVE-2021-30869, consiste en un fallo de confusión de tipo en el componente XNU que permitiría a una aplicación ejecutar código arbitrario con privilegios de kernel. Este bug fue descubierto por investigadores de Google Threat Analysis Group y Project Zero.

0day privilege escalation for macOS Catalina discovered in the wild by @eryeh https://t.co/yvCWPo45fL

We saw this used in conjunction with a N-day remote code execution targeting webkit.

Thanks to Apple for getting patch out so quickly.

— Shane Huntley (@ShaneHuntley) September 23, 2021

Otro zero-day corregido por Apple es CVE-2021-30858, una vulnerabilidad de tipo ‘Use-After-Free‘ (UAF) que permite a WebKit ejecutar código arbitrario en un sitio web con contenido malicioso creado por un atacante.

Finalmente, el último zero-day, también conocido como ‘FORCEDENTRY‘ e identificado como CVE-2021-30860, es una vulnerabilidad en la librería CoreGraphics de tipo ‘Integer overflow’. Permite también ejecutar código arbitrario al procesar un PDF con contenido malicioso. Según el informe técnico de CitizenLab, esta vulnerabilidad explotada a través de iMessage serviría para desplegar el spyware Pegasus del grupo NSO del que recientemente hablamos en este blog.

La lista de dispositivos afectados por estas vulnerabilidades incluyen:

  • iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad Mini 2, iPad Mini 3, iPod Touch (6ª gen.) con iOS 12.5.4.
  • Macs con macOS Catalina y la actualización de seguridad 2021-006.

Desde Hispasec Sistemas recomendamos actualizar los dispositivos afectados con los últimos parches de seguridad de Apple para mitigar el impacto de estas vulnerabilidades zero-day.

Más información:
About the security content of Security Update 2021-006 Catalina
Urgent Apple iOS and macOS Updates Released to Fix Actively Exploited Zero-Days
NSO Group iMessage Zero-Click Exploit Captured in the Wild

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Técnicas de Análisis Forense

Machine Learning aplicado a Ciberseguridad

Open Source INTelligence (OSINT)

Archivado en: General, Vulnerabilidades Etiquetado con: Apple, iOS, iPhone, MacOS, parche, vulnerabilidad, zero day

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware "Jester"
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales
  • El Discord oficial de Opensea (mercado de NFT) es hackeado
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...