Apple ha lanzado actualizaciones de seguridad para iOS, iPadOS, macOS, visionOS y su navegador web Safari para abordar dos fallas de día cero que han sido objeto de explotación activa.
Los defectos se enumeran a continuación:
- CVE-2024-44308 (puntuación CVSS: 8,8) : una vulnerabilidad en JavaScriptCore que podría provocar la ejecución de código arbitrario al procesar contenido web malicioso
- CVE-2024-44309 (puntuación CVSS: 6,1) : una vulnerabilidad de gestión de cookies en WebKit que podría provocar un ataque de secuencias de comandos entre sitios (XSS) al procesar contenido web malicioso
El fabricante del iPhone dijo que abordó CVE-2024-44308 y CVE-2024-44309 con controles mejorados y una gestión de estado mejorada, respectivamente.
No se sabe mucho sobre la naturaleza exacta de la explotación, pero Apple ha reconocido que el par de vulnerabilidades «pueden haber sido explotadas activamente en sistemas Mac basados en Intel».
A Clément Lecigne y Benoît Sevens, del Grupo de Análisis de Amenazas (TAG) de Google, se les atribuye el descubrimiento y el informe de las dos fallas, lo que indica que probablemente fueron utilizadas como parte de ataques de software espía altamente selectivos, respaldados por gobiernos o mercenarios.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 18.1.1 y iPadOS 18.1.1 : iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de tercera generación y posteriores, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de séptima generación y posteriores, y iPad mini de quinta generación y posteriores
- iOS 17.7.2 y iPadOS 17.7.2 : iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de segunda generación y posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posteriores, iPad Air de tercera generación y posteriores, iPad de sexta generación y posteriores, y iPad mini de quinta generación y posteriores
- macOS Sequoia 15.1.1 – Mac con macOS Sequoia
- visionOS 2.1.1 – Apple Vision Pro
- Safari 18.1.1 : Mac con macOS Ventura y macOS Sonoma
Hasta ahora, Apple ha abordado un total de cuatro vulnerabilidades de día cero en su software este año, incluida una ( CVE-2024-27834 ) que se demostró en la competencia de piratería Pwn2Own de Vancouver. Las otras tres se solucionaron en enero y marzo de 2024 .
Se recomienda a los usuarios que actualicen sus dispositivos a la última versión lo antes posible para protegerse contra posibles amenazas.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.