Málaga 16 de diciembre de 2022
Clément Lecigne del Grupo de Análisis de Amenazas de Google encontró la vulnerabilidad, que permite que el contenido web creado con fines maliciosos ejecute código arbitrario en un dispositivo susceptible.
Por lo tanto, la ejecución de código arbitrario podría permitir que el sitio malicioso ejecute comandos en el sistema operativo, instale más spyware o malware, o lleve a cabo otras acciones maliciosas.
La última actualización de seguridad de Apple incluye una solución para una vulnerabilidad de seguridad explotada activamente que podría permitir la ejecución de código arbitrario en iPhone 8 y superior.
El error, corregido con la actualización iOS 16.1.2, es un problema de confusión de tipos en el motor del navegador WebKit. La confusión de tipos se produce cuando un fragmento de código no verifica el tipo de objeto que se le pasa; en este caso, puede activarse al procesar contenido especialmente diseñado, señaló Apple en su aviso.
En cuanto a la explotación activa, el gigante móvil señaló que está "al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.1".
Impacto CVE-2022-42856
Este problema se solucionó en Safari 16.2, tvOS 16.2, macOS Ventura 13.1, iOS 15.7.2 y iPadOS 15.7.2, iOS 16.1.2. El procesamiento de contenido web creado con fines malintencionados puede dar lugar a la ejecución de código arbitrario. Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.1.
Si bien Apple ha confirmado que los actores de amenazas explotaron activamente la vulnerabilidad, no se ha publicado más información sobre los ataques.Desde principios de año, Apple ha resuelto diez vulnerabilidades de día cero:
Apple abordó un día cero en el kernel de iOS en octubre (CVE-2022-42827).
Apple corrigió un error en el kernel de iOS en septiembre (CVE-2022-32917).
En agosto, arregló dos días cero más en el Kernel de iOS (CVE-2022-32894) and WebKit (CVE-2022-32893)
En marzo, Apple parcheó dos día cero en el controlador de gráficos Intel (CVE-2022-22674) y AppleAVD (CVE-2022-22675).
En febrero, Apple lanzó actualizaciones de seguridad para abordar otro error de día cero de WebKit explotado para apuntar a iPhones, iPads y Macs.
En enero, Apple corrigió otro par de días cero que permitían la ejecución de código con privilegios de kernel (CVE-2022-22587) y el seguimiento de la actividad de navegación web (CVE-2022-22594).
Por lo tanto, se recomienda instalar los parches de seguridad actuales lo antes posible, a pesar de que esta debilidad de día cero probablemente se utilizó en ataques altamente dirigidos.
Noticia Relacionada
Alerta Actualización de seguridad crítica para productos Citrix - CVE-2022-27518