Apple está instando a los usuarios de macOS, iPhone y iPad a instalar de inmediato las actualizaciones correspondientes esta semana. Estas actualizaciones incluyen correcciones para dos vulnerabilidades de día cero que están bajo ataque activo. Los parches están disponibles para dispositivos que ejecutan iOS 15.6.1 y macOS Monterey 12.5.1.

Los parches abordan dos fallas, que básicamente afectan a cualquier dispositivo Apple que pueda ejecutar iOS 15 o la versión Monterey de su sistema operativo de escritorio, según las actualizaciones de seguridad publicadas por Apple el miércoles.

Uno de los fallos es un error en el kernel (CVE-2022-32894), presente tanto en iOS como en macOS. Según Apple, se trata de un «problema de escritura fuera de los límites [que] se solucionó con una mejor comprobación de límites». La vulnerabilidad permite que una aplicación ejecute código arbitrario con privilegios del kernel, según Apple, que, de manera vaga habitual, dijo que hay un informe de que «puede haber sido explotada activamente».

El segundo fallo se identifica como un error de WebKit (rastreado como CVE-2022-32893), que es un problema de escritura fuera de los límites que Apple solucionó con una mejor comprobación de límites. El fallo permite el procesamiento de contenido web creado de forma maliciosa que puede conducir a la ejecución de código, y también se ha informado que está bajo explotación activa, según Apple. WebKit es el motor de navegador que impulsa Safari y todos los demás navegadores de terceros que funcionan en iOS.

El descubrimiento de ambas fallas, sobre las cuales se sabe poco más allá de la divulgación de Apple, se atribuyó a un investigador anónimo. Un experto expresó su preocupación de que los últimos fallos de Apple «podrían dar a los atacantes acceso total al dispositivo», y que podrían crear un escenario similar a Pegasus, similar al que en el que los APT (Amenazas Persistentes Avanzadas) de estados-nación bombardearon a los objetivos con spyware creado por el grupo israelí NSO Group explotando una vulnerabilidad de iPhone.

Rachel Tobac, CEO de SocialProof Security, tuiteó: «Para la mayoría de la gente: actualicen el software al final del día». Tobac advirtió: «Si el modelo de amenaza es elevado (periodista, activista, objetivo de estados-nación, etc.): actualice ahora».

Las fallas se dieron a conocer junto con otras noticias de Google esta semana de que estaba parcheando su quinto día cero en lo que va del año para su navegador Chrome, un error de ejecución de código arbitrario bajo ataque activo. La noticia de aún más vulnerabilidades de los principales proveedores de tecnología que están siendo atacados por actores de amenazas demuestra que, a pesar de los mejores esfuerzos de las empresas de tecnología de primer nivel para abordar los problemas de seguridad perennes en su software, sigue siendo una batalla cuesta arriba, señaló Andrew Whaley, director técnico senior de Promon, una empresa noruega de seguridad de aplicaciones.

Whaley observó que las fallas en iOS son especialmente preocupantes, dada la ubicuidad de los iPhones y la total dependencia de los usuarios de los dispositivos móviles para su vida diaria.

«Si bien todos confiamos en nuestros dispositivos móviles, no son invulnerables, y como usuarios debemos mantener la guardia, tal como lo hacemos en los sistemas operativos de escritorio», dijo en un correo electrónico a Threatpost. Al mismo tiempo, los desarrolladores de aplicaciones para iPhones y otros dispositivos móviles también deberían agregar una capa adicional de controles de seguridad en su tecnología para que dependan menos de la seguridad del sistema operativo para su protección, dadas las fallas que surgen con frecuencia, observó Whaley.

«Nuestra experiencia demuestra que esto no está sucediendo lo suficiente, lo que potencialmente deja a los clientes bancarios y de otro tipo vulnerables», dijo.