Actualizaciones de seguridad para Apple 

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos Apple, incluyendo una vulnerabilidad de día cero (0-day), que permitirían a un atacante realizar ejecución de código arbitrario en los productos afectados, así como rastrear información confidencial del usuario a través de un sitio web especialmente diseñado. 

Apple ha reportado múltiples vulnerabilidades que se encuentran en proceso de análisis aún. Algunas de las mismas se detallan a continuación: 

• CVE-2022-42856, con severidad crítica y sin puntuación asignada aún. Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a un problema en el procesamiento de contenido (type confusion) en el componente WebKit de Safari. Un atacante con fines malintencionados podría a través de un sitio web especialmente diseñado provocar ejecución de código arbitrario en los productos afectados. 

• CVE-2022-42867, con severidad alta y sin puntuación asignada aún. Esta vulnerabilidad se debe a un problema de gestión de memoria (use-after-free) en el componente Webkit de Safari. Un atacante podría a través de un sitio web especialmente diseñado provocar corrupción de memoria y así realizar ejecución de código arbitrario en los productos afectados. 

• CVE-2022-46691, con severidad alta y sin puntuación asignada aún. Esta vulnerabilidad se debe a un problema de consumo de memoria en el componente Webkit de Safari. Un atacante podría provocar ejecución de código arbitrario en los productos afectados. 

Puede acceder al listado completo de las vulnerabilidades aquí 

Algunos productos afectados son: 

• iCloud para Windows versiones previas a 14.1 
• Safari versiones previas a 16.2 
• macOS Monterey versiones previas a 12.6.2 
• macOS Big Sur versiones previas a 11.7.2 
• tvOS versiones previas a 16.2 
• watchOS versiones previas a 9.2 

Puede acceder al listado completo de productos aquí 

Adicionalmente Apple recomienda acceder a la guía de actualizaciones en el siguiente enlace: 

• https://support.apple.com/en-us/HT201222 

Referencias: 

• https://thehackernews.com/2022/12/new-actively-exploited-zero-day.html 
• https://www.cybersecurity-help.cz/vdb/SB2022121390  
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42856 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42867 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46691 
• https://support.apple.com/en-us/HT213537 
• https://support.apple.com/en-us/HT201222