Esta semana Apple lanzó una actualización de seguridad que contiene parches para varios productos, pero se destaca un parche que corrige una vulnerabilidad zero-day en iPhone 5s, 6, y 6 Plus, y en iPad Air, mini 2, mini 3, y iPod touch (6ta generación). Apple explicó que está al tanto de los reportes que indican que esta vulnerabilidad está siendo aprovechada de forma activa por cibercriminales.
Se trata de la CVE-2022-42856, una vulnerabilidad del tipo type confusion en el motor de navegador Webkit. El fallo había recibido un parche en diciembre pero para las versiones más nuevas de dispositivos Apple. Sin embargo, la compañía incluyó en esta actualización de enero un parche para versiones más antiguas. Además, en la actualización de diciembre el parche fue incluido para dispositivos macOS y tvOS.
El fallo puede ser aprovechado por un atacante mediante sitios web maliciosos especialmente diseñados y lograr la ejecución remota de código en dispositivos sin el parche. Vale la pena recordar que la ejecución de código arbitrario puede permitir a un actor malicioso realizar distintas acciones maliciosas, como ejecutar comandos, lo cual podría llevar al compromiso de credenciales o la descarga de malware en los sistemas comprometidos.
En 2022 Apple corrigió 10 vulnerabilidades zero-day
Es oportuno mencionar que durante 2022 Apple corrigió un total de 10 vulnerabilidades zero-day. Es decir, fallos que han estado siendo aprovechados por actores maliciosos antes de ser reportados y debidamente corregidos. Como explicamos en el episodio sobre seguridad en Apple en el podcast Conexión Segura, el interés de los cibercriminales por atacar a usuarios de dispositivos Apple es claro. Como el volumen de personas que utilizan Windows y Android es superior al de Mac y iPhone, esto puede generar la falsa sensación de seguridad porque hay menos actividad maliciosa orientada a las tecnologías de Apple, pero la realidad es que nadie está exento de ser víctima de un ataque de malware.