Apple

Alerta

Apple ha publicado 4 vulnerabilidades, 2 de ellas de tipo 0day, que podrían permitir a un atacante eludir las protecciones de la memoria del kernel.

Alerta

Se ha detectado una campaña que suplanta la identidad del Instituto Nacional de Ciberseguridad (INCIBE), a través de dos métodos de ingeniería social, vishing y phishing.

Alerta

Productos afectados:

  • macOS
  • iOS
  • iPadOS

Versiones

  • macOS Ventura: anteriores a 13.5.2;
  • macOS Monterey: anteriores a 12.6.9;
  • macOS Big Sur: anteriores a 11.7.10;
  • iOS e iPadOS: anteriores a 16.6.1
  • iOS e iPadOS: anteriores a 15.7.9;

 

Riesgo:

CVE-203-41064: el procesamiento de una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario.

Alerta

Se trata de dos vulnerabilidades graves, una de ellas ya se estaba utilizando por parte de cibercriminales (0 Day).

  • CVE-2023-40477: De no remediarse, un atacante podría ejecutar código arbitrario en el equipo de la víctima al abrir archivos o visitar páginas con diseño específico para aprovechar la vulnerabilidad.
  • CVE-2023-38831 (0D): Permite la instalación de malware en el equipo de la víctima al acceder a archivos comprimidos aparentemente inofensivos.
Alerta

Las vulnerabilidades se han catalogado como CVE-2023-28206 y CVE-2023-28205, respectivamente y hasta el momento no han recibido una calificación CVSS, aunque se presume que será alta en ambos casos al poder permitir la ejecución de código arbitrario, en el primer caso con privilegios de kernel.

Esta es la lista de dispositivos afectados:

  • iPhone 8 y posterior

  • iPad Pro (todos los modelos)

  • iPad Air 3.ª generación y posteriores

  • iPad 5.ª generación y posteriores

Alerta

La compañía recomienda a los usuarios actualizar los dispositivos afectados (iPhone, iPads y Macs) tan pronto como sea posible.