Apple ha publicado correcciones para un total de 33 vulnerabilidades confirmadas en su última actualización de iOS y iPadOs, los sistemas operativos móviles que se ejecutan en sus líneas de iPhone y iPad, incluidos dos problemas de serie que pueden afectar los núcleos de los dispositivos.
Las nuevas versiones, iOS 16.4 para iPhone y iPadOS 16.4 para iPad, ya están disponibles para descargar a través de los canales habituales. Los usuarios consumidores pueden verificar el estado de su actualización accediendo a Configuración – General – Actualización de software, aunque pueden encontrar que la actualización se aplicó automáticamente.
Para proteger a sus clientes y darles a tantos como sea posible la oportunidad de aprovechar los procedimientos de actualización automatizados, Apple no divulga, discute ni confirma ningún problema de seguridad hasta que se haya investigado a fondo y los parches o nuevas versiones estén disponibles si es necesario. Como tal, los detalles completos de su naturaleza precisa son, como de costumbre, escasos.
Las dos vulnerabilidades que afectan al kernel central del sistema operativo se están rastreando actualmente como CVE-2023-27969, atribuido a Adam Doupé del Laboratorio de Ingeniería de Seguridad para Computación del Futuro (SEFCOM) de la Universidad Estatal de Arizona, y CVE-2023-27933, atribuido a un individuo pasando por el identificador sqrtpwn, quien previamente ha revelado otras vulnerabilidades vinculadas al kernel en los productos de Apple.
En el primer caso, la explotación podría llevar a que una aplicación pueda ejecutar código arbitrario en el sistema con privilegios de kernel. Lo mismo se aplica en la segunda instancia, aunque en este caso la aplicación también necesitaría tener privilegios de root en el sistema. Ambos problemas se solucionan con una mejor administración y manejo de la memoria.
Debido a la naturaleza crítica de los trabajos que realiza el kernel en cualquier sistema operativo, los actores de amenazas valoran las vulnerabilidades que lo afectan por el acceso de alto nivel que pueden otorgar. Como tal, las actualizaciones deben ser priorizadas.
La actualización también corrige tres vulnerabilidades en Apple Neural Engine que podrían provocar la ejecución de código arbitrario con privilegios de kernel, vulnerabilidades en AppleMobileFileIntegrity, Calendar, Find My, Identity Services, Photos, Podcasts y Sandbox que podrían provocar la exposición de los datos del usuario, y dos vulnerabilidades en kit web.
Las actualizaciones de seguridad se pueden aplicar a todos los modelos de iPhone 8 y posteriores, todos los modelos de iPad Pro, los modelos de tercera generación y posteriores de iPad Air, los modelos de quinta generación y posteriores de iPad y los modelos de quinta generación y posteriores de iPad mini.
La actualización también incluye otras mejoras del producto y, lo que es más importante, más de 20 emojis nuevos, incluidos un burro, una raíz de jengibre, un ganso, una medusa y algunas maracas.
Las versiones anteriores de iOS y iPadOS también están recibiendo actualizaciones a la versión 15.7.4, que cubre todos los modelos de iPhone 6s, iPhone 7, iPhone SE de primera generación, iPad Air 2, iPad Mini de cuarta generación y iPod touch de séptima generación.
Esta actualización corrige 16 vulnerabilidades, incluida otra vulnerabilidad de WebKit, CVE-2023-23529, que puede provocar la ejecución de código arbitrario si el dispositivo procesa contenido web creado con fines malintencionados. Ha habido informes de que este error se está explotando activamente en la naturaleza. Dadas las políticas de seguridad de Apple, no hay indicios de cómo se está explotando, ni ningún indicador de compromiso (IoC) en este momento.
También hay parches disponibles para watchOS, llevándolo a la versión 9.4 y tvOS a la 16.4. Al mismo tiempo, las organizaciones que operan Mac deben priorizar las actualizaciones de las versiones de macOS Big Sur (11.7.5), Monterey (12.6.4) y Ventura (13.3). También hay una actualización de seguridad para el navegador Safari.