Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades de día cero (0-day) explotadas activamente con (PoC) pública, que afectan a productos Apple, que permitirían a un atacante realizar ataques del tipo use-after-free (UAF), out-of-bounds write y provocar la ejecución de código arbitrario en el sistema afectado.
Producto afectado:
- iOS y iPadOS, versiones previas a 16.4.1.
- macOS Ventura, versiones previas a 13.3.1.
- Safari, versiones previas a 16.4.1.
- iPhone 8 y versiones posteriores.
- iPad Pro, todos los modelos.
- iPad Air 3ra generación y versiones posteriores.
- iPad 5ª generación y versiones posteriores.
- iPad mini 5ª generación y versiones posteriores.
Información adicional:
- https://securityonline.info/apple-users-face-two-actively-exploited-0-day-cve-2023-28205-cve-2023-28206-flaws/
- https://securityonline.info/poc-for-0-day-cve-2023-28206-flaw-affecting-macos-ios-published/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28205
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28206
- https://support.apple.com/en-us/HT213721
- https://support.apple.com/en-us/HT213722
- https://support.apple.com/en-us/HT213720
- https://support.apple.com/en-us/HT201222