Apple ha lanzado actualizaciones de seguridad, algunas de tipo 0day, para abordar varias vulnerabilidades críticas en sus productos, que podría determinar la distribución de la memoria del núcleo, provocar un apagado inesperado del sistema, un bloqueo inesperado del proceso, un ataque de secuencias de comandos entre sitios o acceder a las pestañas de navegación privada sin autenticación, entre otras acciones.
Productos afectados:
- iOS versión 17.6 y 16.7.9.
- iPadOS version 17.6 y 16.7.9.
- macOS versiones Monterey 12.7.6, Sonoma 14.6 y Ventura 13.6.8.
- Safari version 17.6.
- tvOS version 17.6.
- visionOS version 1.3.
- watchOS version 10.6.
Impacto:
Una de las vulnerabilidades, CVE-2024-23296, es de tipo 0day y afecta a macOS Monterey en RTKit. Un atacante con capacidad de lectura y escritura arbitraria del kernel podría eludir las protecciones de memoria del kernel.
Algunas de las vulnerabilidades de severidad crítica, más importantes se identifican como:
CVE-2024-40803: con una puntuación en CVSSv3 de 9.8, podría permitir a un actor malicioso provocar la finalización inesperada de aplicaciones.
CVE-2024-40788:podría permitir a un actor malicioso local provocar un apagado inesperado del sistema, comprometiendo la estabilidad de los dispositivos afectados.
CVE-2024-2398: con una puntuación en CVSSv3 de 8.6. Esta vulnerabilidad en libcurl podría permitir la pérdida de memoria al manejar el envío de datos en servidores HTTP/2, lo que podría comprometer la estabilidad de las aplicaciones que utilizan esta biblioteca.
CVE-2024-27804: con una puntuación en CVSSv3 de 8.1, podría permitir a un actor malicioso acceder a datos sensibles y potencialmente tomar control total del sistema afectado.
Las demás vulnerabilidades reportadas y los productos afectados, de severidades altas, medias y bajas, se pueden observar en las referencias citadas en su apartado.
Recomendación:
Actualizar a las versiones más recientes disponibles en el sitio web oficial para los productos afectados.
Referencias:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-40803
https://support.apple.com/es-es/HT214116
https://support.apple.com/es-es/HT214117
https://support.apple.com/es-es/HT214118
https://support.apple.com/es-es/HT214119
https://support.apple.com/es-es/HT214120
https://support.apple.com/es-es/HT214121
https://support.apple.com/es-es/HT214122
https://support.apple.com/es-es/HT214123
https://support.apple.com/es-es/HT214124
https://nvd.nist.gov/vuln/detail/CVE-2024-2398
https://nvd.nist.gov/vuln/detail/CVE-2024-27804