Apple ha lanzado actualizaciones de seguridad para iOS, iPadOS, macOS, visionOS y su navegador web Safari para abordar dos fallas de día cero que han sido explotadas activamente en la naturaleza.
Los defectos se enumeran a continuación:
- CVE-2024-44308 – Una vulnerabilidad en JavaScriptCore que podría provocar la ejecución de código arbitrario al procesar contenido web malicioso.
- CVE-2024-44309 – Una vulnerabilidad de administración de cookies en WebKit que podría provocar un ataque de secuencias de comandos entre sitios (XSS) al procesar contenido web malicioso.
El fabricante de iPhone dijo que abordó CVE-2024-44308 y CVE-2024-44309 con controles mejorados y gestión de estado mejorada, respectivamente.
No se sabe mucho sobre la naturaleza exacta de la explotación, pero Apple ha reconocido que el par de vulnerabilidades “pueden haber sido explotadas activamente en sistemas Mac basados en Intel”.
A Clément Lecigne y Benoît Sevens del Grupo de Análisis de Amenazas (TAG) de Google se les atribuye el mérito de descubrir e informar las dos fallas, lo que indica que probablemente fueron utilizadas como parte de ataques de software espía mercenarios o respaldados por gobiernos altamente dirigidos.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 18.1.1 y iPadOS 18.1.1: iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad 7.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
- iOS 17.7.2 y iPadOS 17.7.2: iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación generación y posteriores, iPad de sexta generación y posteriores, y iPad mini de quinta generación y posteriores
- macOS Sequoia 15.1.1: Mac que ejecutan macOS Sequoia
- visionOS 2.1.1 – Apple Vision Pro
- Safari 18.1.1: Mac con macOS Ventura y macOS Sonoma
Hasta ahora, Apple ha abordado un total de cuatro días cero en su software este año, incluido uno (CVE-2024-27834) que se demostró en la competencia de piratería Pwn2Own de Vancouver. Los otros tres fueron parcheados en enero y marzo de 2024.
Se recomienda a los usuarios que actualicen sus dispositivos a la última versión lo antes posible para protegerse contra posibles amenazas.