Introducció
Apple va llançar actualitzacions de seguretat urgents per a abordar múltiples vulnerabilitats en iPhones, iPads i macOS. La companyia també advertix sobre una vulnerabilitat posada pegats al març que creu que pot haver sigut explotada com un zero-day.
Recursos Afectats
- ipad_os: Excluding Up to 17.4
- iphone_os: Excluding Up to 17.4
- macos: From 14.0 to 14.4
- apple:tvos: Excluding Up to 17.4
- apple:visionos: Excluding Up to 1.1
- apple:watchos: Excluding Up to 10.4
Detall
El problema afecta als dispositius iPhone més antics, es rastreja com CVE-2024-23296 i és una falla de corrupció de memòria en RTKit.
El Kernel en temps real és un component del sistema operatiu responsable de gestionar i executar tasques amb estrictes requisits de temps.
Un atacant amb capacitat arbitrària de lectura i escriptura del kernel pot ser capaç d’eludir les proteccions de la memòria del kernel. Apple té coneixement d’un informe que indica que este problema pot haver sigut aprofitat.
El gegant de TI va solucionar l’error de corrupció de la memòria amb una validació millorada, va llançar iOS 16.7.8 i iPadOS 16.7.8.
L’empresa també va abordar un problema lògic, rastrejat com CVE-2024-27789, en el marc de la Fundació. La falla pot ser aprofitada per una aplicació per a accedir a dades confidencials de l’usuari.
Hi ha pegats de seguretat disponibles per a iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5a generació, iPad Pro de 9,7 polzades i iPad Pro de 12,9 polzades de 1a generació.
Apple va llançar pegats de seguretat per a solucionar altres problemes en diversos productes. Les vulnerabilitats solucionades pel proveïdor poden provocar l’execució de codi arbitrari, escalada de privilegis, atacs de denegació de servici i accés no autoritzat a les dades.
Solució
Aplicar el pegat llançat per la companyia per al dispositiu.
Referencias
https://securityaffairs.com/163096/hacking/apple-iphones-zero-day-exploited.html
https://nvd.nist.gov/vuln/detail/CVE-2024-23296#range-10357489