Apple ha lanzado una actualización de seguridad para corregir múltiples vulnerabilidades de día cero en dispositivos iPhone y Mac.
Una de las vulnerabilidades, identificada como CVE-2021-30869, consiste en un fallo de confusión de tipo en el componente XNU que permitiría a una aplicación ejecutar código arbitrario con privilegios de kernel. Este bug fue descubierto por investigadores de Google Threat Analysis Group y Project Zero.
Otro zero-day corregido por Apple es CVE-2021-30858, una vulnerabilidad de tipo ‘Use-After-Free‘ (UAF) que permite a WebKit ejecutar código arbitrario en un sitio web con contenido malicioso creado por un atacante.
Finalmente, el último zero-day, también conocido como ‘FORCEDENTRY‘ e identificado como CVE-2021-30860, es una vulnerabilidad en la librería CoreGraphics de tipo ‘Integer overflow’. Permite también ejecutar código arbitrario al procesar un PDF con contenido malicioso. Según el informe técnico de CitizenLab, esta vulnerabilidad explotada a través de iMessage serviría para desplegar el spyware Pegasus del grupo NSO del que recientemente hablamos en este blog.
La lista de dispositivos afectados por estas vulnerabilidades incluyen:
- iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad Mini 2, iPad Mini 3, iPod Touch (6ª gen.) con iOS 12.5.4.
- Macs con macOS Catalina y la actualización de seguridad 2021-006.
Desde Hispasec Sistemas recomendamos actualizar los dispositivos afectados con los últimos parches de seguridad de Apple para mitigar el impacto de estas vulnerabilidades zero-day.
Más información:
About the security content of Security Update 2021-006 Catalina
Urgent Apple iOS and macOS Updates Released to Fix Actively Exploited Zero-Days
NSO Group iMessage Zero-Click Exploit Captured in the Wild
