esenfrdeitptru

Apple corrige un nuevo exploit de día cero para hackear macOS y dispositivos iOS

AS-010-2022

Fecha: 28/Ene/2022

Resumen:

Apple ha lanzado actualizaciones de seguridad para corregir dos vulnerabilidades de día cero, con una vulnerabilidad divulgada públicamente y la otra explotada por atacantes para secuestrar cuentas en líneas y cámaras Web de iPhones y Macs. El primer parche de día cero (rastreado como CVE-2022-22587) es un error de corrupción de memoria en IOMobileFrameBuffer que afecta a iOS, iPadOS y macOS.

Para activar el exploit se requería que la víctima hiciera clic en el botón "Abrir" en un sitio web malicioso. Si el exploit se hubiera ejecutado con éxito, le daría al atacante acceso no solo a la cámara web de la víctima, sino también a su cuenta en cada sitio web que visite en otra pestaña de Safari. Esto incluía cuentas de Gmail, iCloud, Facebook y PayPal.

Apple abordó la falla mejorando la validación de entrada. La vulnerabilidad afecta al iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch (7ª generación).

Recomendaciones:

Mantener su software actualizado es una de las cosas más importantes que puede hacer para mantener la seguridad de su producto Apple.

• La última versión de iOS y iPadOS es 15.3. Obtén información sobre cómo actualizar el software en tu iPhone, iPad o iPod touch. Actualizar el iPhone, iPad o iPod touch - Soporte técnico de Apple

• La última versión de macOS es 12.2. Obtén información sobre cómo actualizar el software en tu Mac Actualizar macOS en la Mac - Soporte técnico de Apple y cómo permitir actualizaciones importantes en segundo plano. Acerca de las actualizaciones en segundo plano en macOS - Soporte técnico de Apple

Referencias:

https://support.apple.com/en-us/HT201222

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-exploited-to-hack-macos-ios-devices/

https://securityaffairs.co/wordpress/127240/hacking/apple-fixed-two-zero-day-2022.html

https://www.securityweek.com/apple-patches-actively-exploited-ios-security-flaw

https://www.itnews.com.au/news/apple-patches-exploited-ios-and-macos-zero-day-575181