Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades Zero Day que afectan a productos Apple, que permitirían a un atacante realizar omisión de autenticación, escalamiento de privilegios y ejecución de código arbitrario en los productos afectados.
Las vulnerabilidades reportadas se componen de 3 (tres) sin severidad asignadas aún. Las mismas se detallan a continuación:
- CVE-2023-41991, sin severidad ni puntuación asignada aún. Esta vulnerabilidad Zero Day explotada activamente se debe a una falla de validación de certificados en el componente Security en productos Apple. Esto permitiría a un atacante realizar omisión de autenticación en los productos afectados.
- CVE-2023-41992, sin severidad ni puntuación asignada aún. Esta vulnerabilidad Zero Day explotada activamente se debe a una falla de seguridad en el componente Kernel en productos Apple. Esto permitiría a un atacante local realizar escalamiento de privilegios en los productos afectados.
- CVE-2023-41993, sin severidad ni puntuación asignada aún. Esta vulnerabilidad Zero Day explotada activamente se debe a una falla en el procesamiento de contenido web del componente WebKit en productos Apple. Un atacante podría realizar ejecución de código arbitrario en los productos afectados.
Los productos afectados son:
- Safari, versiones previas a 16.6.1.
- iOS y iPadOS, versiones previas a 16.7.
- iOS y iPadOS, versiones previas a 17.0.1.
Adicionalmente Apple recomienda acceder a la guía de actualizaciones en el siguiente enlace:
Referencias:
- https://www.securityweek.com/apple-patches-3-zero-days-likely-exploited-by-spyware-vendor-to-hack-iphones/
- https://nvd.nist.gov/vuln/detail/CVE-2023-41991
- https://nvd.nist.gov/vuln/detail/CVE-2023-41992
- https://nvd.nist.gov/vuln/detail/CVE-2023-41993
- https://support.apple.com/en-us/HT213930
- https://support.apple.com/en-us/HT213931
- https://support.apple.com/en-us/HT213932
- https://support.apple.com/en-us/HT201222