El gobierno de EE. UU. ordena a sus empleados que actualicen sus iPhone de inmediato


Los empleados del gobierno de EE. UU. con dispositivos Apple tienen hasta el 1 de mayo para aplicar el parche más reciente y proteger sus dispositivos de un posible compromiso.

BleepingComputer informó recientemente que la Agencia de Infraestructura y Seguridad Cibernética (CISA) está ordenando a las agencias federales que apliquen un parche que corrige CVE-2023-28206 y CVE-2023-28205 para iPhones, computadoras Mac y dispositivos iPad.

Aparentemente, las fallas se explotan activamente en la naturaleza, para dar a los actores de amenazas acceso total a los dispositivos de destino. "Apple está al tanto de un informe de que este problema puede haber sido explotado activamente", dijo el gigante de Cupertino en un aviso publicado con los parches.

Muchos dispositivos afectados

Una es una vulnerabilidad de escritura fuera de los límites de IOSurface que permitió a los actores de amenazas corromper datos, bloquear aplicaciones y dispositivos y ejecutar código de forma remota. En el peor de los casos, un actor de amenazas podría impulsar una aplicación maliciosa (se abre en una nueva pestaña) que le permite ejecutar código arbitrario con privilegios de kernel en el dispositivo.

El otro es un WebKit con consecuencias similares: corrupción de datos y ejecución de código arbitrario a través de la visita de una víctima a un sitio web malicioso, lo que resulta en la ejecución remota de código.

Las fallas se corrigieron en el lanzamiento de iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 y Safari 16.4.1, por lo que si le preocupan estas vulnerabilidades, asegúrese de actualizar sus sistemas a la última versión. liberar lo antes posible.

Apple publicó una lista de hardware vulnerable, que incluía todos los dispositivos iPad Pro y macOS Ventura, así como dispositivos iPad, iPad Mini y iPad Air, los dos primeros de 5.ª generación y el último de 3.ª generación. Los teléfonos inteligentes del iPhone 8 también se ven afectados.

La compañía dijo que estaba al tanto de los actores de amenazas que abusaban de los días cero en la naturaleza, pero no discutió los detalles. Los medios especulan que los atacantes podrían estar patrocinados por el estado, dado que las fallas fueron descubiertas por investigadores que generalmente buscan jugadores patrocinados por el gobierno.

Los investigadores que encontraron las fallas son Clément Lecigne del Grupo de Análisis de Amenazas de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnistía Internacional. Aparentemente, las fallas se estaban utilizando como parte de una cadena de explotación.

Vía: BleepingComputer (se abre en una nueva pestaña)