Una vulnerabilidad en Webkit, el motor de navegador desarrollado por Apple y que utiliza el popular navegador Safari, fue reparada la semana pasada con el lanzamiento de una actualización por parte de Apple para iOS (15.3.1 ), iPadOS (15.3.1 ), macOS (12.2.1 ) y Safari (15.3). Según la compañía, se trata de una vulnerabilidad del tipo user after free que permite a un atacante procesar contenido web maliciosos especialmente diseñado y de esta manera ejecutar código arbitrario de manera remota. Además, el gigante tecnológico confirmó que está al tanto de que el fallo podría estar siendo explotado por atacantes.
La vulnerabilidad fue registrada como CVE-2022-22620 y fue reportada por un investigador o investigadora cuyo nombre no fue revelado.
Por su parte, la agencia de seguridad norteamericana CISA reveló en un comunicado que determinó la necesidad de que las agencias que conforman la FCEB (Federal Civilian Executive Branch Agencies) actualicen para parchear la vulnerabilidad antes del 25 de febrero.
La CISA dijo tener evidencia para asegurar que actores de amenazas están explotando la vulnerabilidad de manera activa. Además, manifestó que este tipo de vulnerabilidades son vectores de ataques frecuentes para todo tipo de actores maliciosos y que por ello supone un gran riesgo al permitir ejecutar código arbitrario en dispositivos iPhone, IPad y Mac a través del navegador web Safari y también Google Chrome y Mozilla Firefox, ya que los tres utilizan el motor de navegador de código abierto Webkit.
Un dato no menor es que la CVE-2022-22620 es la tercera zero-day que Apple parchea en lo que va del 2022. Anteriormente se habían parcheado la CVE-2022-22594) y la CVE-2022-22587.
Para más información recomendamos leer la información oficial sobre la actualización de Apple para iOS y iPadOS, Safari y MacOS.