Múltiples vulnerabilidades de día cero (0-day) en productos de Apple

Se han informado nuevas alertas de seguridad sobre tres vulnerabilidades de día cero en los productos de Apple que permiten a los atacantes ejecutar código arbitrario con privilegios de kernel en el sistema afectado.

Las vulnerabilidades informadas incluyen tres vulnerabilidades a las que no se les ha asignado una calificación de gravedad.

Se detallan a continuación:

• CVE-2023-32434 no tiene una gravedad o calificación especificada.

Esta vulnerabilidad de día cero (0-day) explotada activamente del tipo integer overflow se debe a una falla de validación de datos de entrada en el componente kernel de Apple. Un atacante podría realizar ejecución de código arbitrario con privilegios de kernel en los productos afectados.

• A CVE-2023-32435 aún no se le ha asignado una gravedad o calificación.

Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a una falla de gestión de memoria en el componente WebKit de Apple. Un atacante a través de un sitio web especialmente diseñado podría provocar corrupción de memoria y así realizar ejecución de código arbitrario en los productos afectados.

• CVE-2023-32439, gravedad o calificación no especificada.

Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a un problema en el procesamiento de contenido (type confusion) en el componente WebKit en productos Apple. Un atacante podría a través de un sitio web especialmente diseñado provocar ejecución de código arbitrario en los productos afectados.

Los productos afectados de Apple son:

Productos de Apple afectados:

• Versiones de Safari anteriores a 16.5.1

• Versiones de iOS anteriores a 16.5.1

• Versiones de iPadOS anteriores a 16.5.1

• Versiones de iOS anteriores a 15.7.7

• Versiones de iPadOS anteriores a 15.7.7

• Versiones de macOS Ventura anteriores a 13.4.1

• Versiones macOS Monterey antes de 12.6.7

• Versiones de macOS Big Sur anteriores a 11.7.8

• watchOS antes de la versión 9.5.2

• watchOS antes de la versión 8.8.1

Recomendamos que instale las actualizaciones apropiadas para cada producto afectado según lo proporcionado por el fabricante utilizando los enlaces a continuación:

Referencias:

• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-0day-en-productos-de-apple

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32434

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32435

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32439

• https://support.apple.com/es-es/HT213811

• https://support.apple.com/es-es/HT204204

• https://support.apple.com/es-es/HT201541

• https://support.apple.com/es-es/HT204641

D3f4lt