Introducción
Apple lanzó actualizaciones de seguridad urgentes para abordar múltiples vulnerabilidades en iPhones, iPads y macOS. La compañía también advierte sobre una vulnerabilidad parcheada en marzo que cree que puede haber sido explotada como un zero-day.
Recursos Afectados
- ipad_os: Excluding Up to 17.4
- iphone_os: Excluding Up to 17.4
- macos: From 14.0 to 14.4
- apple:tvos: Excluding Up to 17.4
- apple:visionos: Excluding Up to 1.1
- apple:watchos: Excluding Up to 10.4
Detalle
El problema afecta a los dispositivos iPhone más antiguos, se rastrea como CVE-2024-23296 y es una falla de corrupción de memoria en RTKit.
El Kernel en tiempo real es un componente del sistema operativo responsable de gestionar y ejecutar tareas con estrictos requisitos de tiempo.
Un atacante con capacidad arbitraria de lectura y escritura del kernel puede ser capaz de eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.
El gigante de TI solucionó el error de corrupción de la memoria con una validación mejorada, lanzó iOS 16.7.8 y iPadOS 16.7.8.
La empresa también abordó un problema lógico, rastreado como CVE-2024-27789, en el marco de la Fundación. La falla puede ser aprovechada por una aplicación para acceder a datos confidenciales del usuario.
Hay parches de seguridad disponibles para iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación.
Apple lanzó parches de seguridad para solucionar otros problemas en varios productos. Las vulnerabilidades solucionadas por el proveedor pueden provocar la ejecución de código arbitrario, escalada de privilegios, ataques de denegación de servicio y acceso no autorizado a los datos.
Solución
Aplicar el parche lanzado por la compañía para el dispositivo.
Referencias
https://securityaffairs.com/163096/hacking/apple-iphones-zero-day-exploited.html
https://nvd.nist.gov/vuln/detail/CVE-2024-23296#range-10357489