Los investigadores del Grupo de Análisis de Amenazas de Google han estado más ocupados que nunca, con descubrimientos que llevaron a la revelación de tres vulnerabilidades de día cero de alta gravedad bajo explotación activa en los sistemas operativos de Apple y el navegador Chrome en el espacio de 48 horas.

manzana el jueves él dijo estaba lanzando actualizaciones de seguridad que solucionaban dos vulnerabilidades presentes en iOS, macOS y iPadOS. Ambos residen en WebKit, el motor que impulsa Safari y una amplia gama de otras aplicaciones, incluido Apple Mail, App Store y todos los navegadores que se ejecutan en iPhones y iPads. Si bien la actualización se aplica a todas las versiones compatibles de los sistemas operativos de Apple, la divulgación del jueves sugirió ataques salvajes que explotan vulnerabilidades dirigidas a versiones anteriores de iOS.

«Apple tiene conocimiento de un informe de que este problema puede haber sido explotado en versiones de iOS anteriores a iOS 16.7.1», escribieron funcionarios de Apple sobre ambas vulnerabilidades, que se rastrean como CVE-2023-42916 y CVE-2023-42917.

CVE-2023-42916 es una lectura fuera de límites que permite a los piratas informáticos obtener información confidencial cuando las aplicaciones basadas en WebKit procesan contenido en línea especialmente diseñado. CVE-2023-42917 es una falla de corrupción de memoria que hace que los dispositivos vulnerables ejecuten código malicioso al procesar contenido creado por piratas informáticos para una aplicación WebKit. Apple le dio crédito a Clément Lecigne de TAG por descubrir ambas vulnerabilidades. Ni Apple ni Google proporcionaron detalles sobre los ataques de día cero.

El martes Google él dijo estaba lanzando una actualización que solucionó siete vulnerabilidades de Chrome, una de las cuales era de día cero, lo que significa que Google se enteró después de que los exploits ya estuvieran disponibles. Google no proporcionó detalles adicionales relacionados con el día cero.

El error, identificado como CVE-2023-6345, se debe a un desbordamiento de enteros, una clase común de vulnerabilidad que permite a los piratas informáticos ejecutar código malicioso cuando los objetivos procesan contenido especialmente diseñado. La vulnerabilidad reside en el componente Skia del navegador. Google le dio crédito a Benoît Sevens y Clément Lecigne de TAG por informar sobre la vulnerabilidad.

Las actualizaciones de Apple y Google se envían automáticamente a los dispositivos afectados. Las actualizaciones se instalan cuando los usuarios reinician su dispositivo o navegador. Es probable que los usuarios reciban notificaciones si pasa suficiente tiempo sin reiniciar. Los usuarios de iOS, macOS y iPadOS pueden instalar actualizaciones manualmente yendo a Configuración del sistema y seleccionando la pestaña General. Para instalar manualmente la actualización de Chrome, elija los tres puntos verticales en la esquina superior derecha de la ventana y elija actualizar.