Apple lanzó el jueves actualizaciones de seguridad de emergencia para iOS, iPadOS, macOS y watchOS para abordar dos fallas de día cero que han sido explotadas en la naturaleza para entregar el spyware mercenario Pegasus de NSO Group.
Los problemas se describen a continuación:
- CVE-2023-41061: un problema de validación en Wallet que podría provocar la ejecución de código arbitrario al administrar un archivo adjunto creado con fines malintencionados.
- CVE-2023-41064: un problema de desbordamiento del búfer en el componente de E/S de imagen que podría provocar la ejecución de código arbitrario al procesar una imagen creada con fines malintencionados.
Mientras que CVE-2023-41064 fue encontrado por el Citizen Lab en la Escuela Munk de la Universidad de Toronto, CVE-2023-41061 fue descubierto internamente por Apple, con “asistencia” del Citizen Lab.
Las actualizaciones están disponibles para los siguientes dispositivos y sistemas operativos:
- iOS 16.6.1 y iPadOS 16.6.1 – iPhone 8 y posterior, iPad Pro (todos los modelos), iPad Air 3.ª generación y posterior, iPad 5.ª generación y posterior, y iPad mini 5.ª generación y posterior
- macOS Ventura 13.5.2: dispositivos macOS con macOS Ventura
- watchOS 9.6.2 – Apple Watch Series 4 y posterior
En una alerta separada, Citizen Lab reveló que las fallas gemelas han sido armadas como parte de una cadena de exploits de iMessage sin clic llamada BLASTPASS para implementar Pegasus en iPhones completamente parcheados con iOS 16.6.
“La cadena de exploits fue capaz de comprometer iPhones con la última versión de iOS (16.6) sin ninguna interacción de la víctima”, dijo el laboratorio interdisciplinario. “El exploit involucró archivos adjuntos de PassKit que contenían imágenes maliciosas enviadas desde una cuenta de iMessage de un atacante a la víctima”.
Se han ocultado detalles técnicos adicionales sobre las deficiencias a la luz de la explotación activa. Dicho esto, se dice que el exploit evita el marco de sandbox BlastDoor configurado por Apple para mitigar los ataques de clic cero.
“Este último hallazgo muestra una vez más que la sociedad civil es blanco de exploits altamente sofisticados y spyware mercenario”, dijo Citizen Lab, y agregó que los problemas se encontraron la semana pasada al examinar el dispositivo de un individuo no identificado empleado por una organización de la sociedad civil con sede en Washington DC con oficinas internacionales.
Cupertino ha corregido hasta ahora un total de 13 errores de día cero en su software desde el comienzo del año. Las últimas actualizaciones también llegan más de un mes después de que la compañía enviara correcciones para una falla del kernel explotada activamente (CVE-2023-38606).
La noticia de los días cero se produce cuando se cree que el gobierno chino ordenó una prohibición que prohíbe a los funcionarios del gobierno central y estatal usar iPhones y otros dispositivos de marca extranjera para trabajar en un intento por reducir la dependencia de la tecnología extranjera y en medio de una escalada entre China y Estados Unidos. guerra comercial.
“La verdadera razón [de la prohibición] es: ciberseguridad (sorpresa sorpresa)”, dijo Zuk Avraham, investigador de seguridad y fundador de Zimperium, en una publicación en X (anteriormente Twitter). “Los iPhones tienen una imagen de ser el teléfono más seguro… pero en realidad, los iPhones no son seguros en absoluto contra el simple espionaje”.
“¿No me crees? Basta con mirar la cantidad de clics 0 que las compañías comerciales como NSO tuvieron a lo largo de los años para comprender que no hay casi nada que un individuo, una organización o un gobierno pueda hacer para protegerse contra el espionaje cibernético a través de iPhones “.
Para actualizar iOS en un iPhone, debes seguir los siguientes pasos:
- Ve a Ajustes > General > Actualización de software > Actualizaciones automáticas.
- Activa “Descargar actualizaciones de iOS” e “Instalar actualizaciones de iOS”.
- Cuando haya una actualización disponible, el iPhone la descargará y la instalará durante la noche mientras se esté cargando y esté conectado a una red Wi-Fi.
- También puedes conectar el iPhone o el iPad a tu computadora y actualizarlo a través de iTunes
