Múltiples vulnerabilidades en productos Apple

Fecha de publicación 23/01/2024
Importancia
5 - Crítica
Recursos Afectados

Versiones anteriores a:

  • tvOS 17.3;
  • Safari 17.3;
  • macOS Monterey 12.7.3;
  • macOS Ventura 13.6.4;
  • iOS 17.3 e iPadOS 17.3;
  • watchOS 10.3;
  • macOS Sonoma 14.3;
  • iOS 15.8.1 e iPadOS 15.8.1;
  • iOS 16.7.5 e iPadOS 16.7.5.
Descripción

Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atacante ejecutar código arbitrario, descifrar textos cifrados RSA PKCS#1 v1.5 heredados, acceder a información sensible, robar el fingerprint de un usuario, explotar fallos en curl, omitir preferencias de seguridad o leer archivos arbitrarios, entre otras acciones.

Solución

Actualizar a las últimas versiones disponibles:

  • tvOS 17.3;
  • Safari 17.3;
  • macOS Monterey 12.7.3;
  • macOS Ventura 13.6.4;
  • iOS 17.3 e iPadOS 17.3;
  • watchOS 10.3;
  • macOS Sonoma 14.3;
  • iOS 15.8.1 e iPadOS 15.8.1;
  • iOS 16.7.5 e iPadOS 16.7.5.
Detalle

Las vulnerabilidades 0day detectadas afectan al componente WebKit y se describen a continuación:

  • Un fallo de confusión de tipos en el procesamiento de contenido web malicioso podría llevar a la ejecución de código arbitrario, y se ha resuelto con controles mejorados. Se ha asignado el identificador CVE-2024-23222 para esta vulnerabilidad.
  • Una lectura fuera de límites en el procesamiento de contenido web podría divulgar información sensible, y se ha solucionado con una validación de entradas mejorada. Se ha asignado el identificador CVE-2023-42916 para esta vulnerabilidad.
  • Una vulnerabilidad de corrupción de memoria en el procesamiento de contenido web podría llevar a la ejecución de código arbitrario, y se ha subsanado con un bloqueo mejorado. Se ha asignado el identificador CVE-2023-42917 para esta vulnerabilidad.

La información del resto de vulnerabilidades puede consultarse en las referencias.