Apple anunció el lanzamiento de un conjunto de actualizaciones de seguridad para abordar dos fallas día cero en dispositivos iPhone e iPad de generaciones anteriores. Las fallas fueron identificadas como CVE-2021-30761 y CVE-2021-30762 y residen en WebKit, el motor de navegación empleado por Safari y empleado como componente para la carga de contenido web en apps iOS.
La compañía recibió informes de diversos investigadores reportando la detección de múltiples intentos de explotar esta falla en escenarios reales con el fin de ejecutar código malicioso durante el proceso de carga del contenido web en WebKit. Apple ya ha comenzado a lanzar las actualizaciones necesarias para mitigar este riesgo; se recomienda a los usuarios actualizar a iOS v12.5.4 para proteger sus dispositivos.
Esta versión del sistema operativo está destinada a dispositivos de la vieja generación como el iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod Touch. Estos reportes representan la octava y novena vulnerabilidad día cero con explotación abordadas por la compañía durante este año. Los reportes anteriores incluyen:
- CVE-2021-1879: Falla de WebKit que afecta tanto a iOS, iPadOS y watchOS antiguos como a los de nueva generación
- CVE-2021-30657: Evasión de macOS Gatekeeper explotada por el hacker Shlayer
- CVE-2021-30661: Falla en WebKit impactando iOS, iPadOS, watchOS y tvOS antiguos y de nueva generación
- CVE-2021-30663: Falla día cero en WebKit afectando macOS, iOS, iPadOS y watchOS
- CVE-2021-30665: Falla día cero en WebKit afectando macOS, iOS, iPadOS y watchOS
- CVE-2021-30666: Falla día cero en WebKit que afecta a macOS, iOS, iPadOS y watchO
- CVE-2021-30713: Evasión de macOS TCC abusada por el malware XCSSET
- CVE-2021-30761: Falla día cero en WebKit afectando los dispositivos iOS de generación anterior
- CVE-2021-30762: Falla día cero en WebKit afectando a los dispositivos iOS de generación anterior
Todas estas fallas fueron debidamente abordadas en su momento, aunque no se pudo evitar su explotación activa. No obstante, Apple señala que, ya que las fallas detectadas impactaban principalmente a los dispositivos de generaciones anteriores, el riesgo de explotación se reduce considerablemente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.