- Apple ha solucionado tres fallas de día cero en WebKit y los parches ya están disponibles.
- No se dieron detalles, pero todos ellos son fáciles y sigilosos de explotar simplemente llevando a la víctima a un sitio web malicioso.
- El WebKit ha demostrado ser una fuente confiable de dolores de cabeza para AppleLos ingenieros de seguridad.
Apple ha descubierto otro grupo de días cero que están bajo explotación activa en la naturaleza, y todos están en WebKit, el motor de Safari. Las soluciones llegan a través iOS 14.5.1, iOS 12.5.3, iPadOS 14.5.1, macOS Gran Sur 11.3.1y relojOS 7.4.1.
Como tal, los usuarios de Apple Se recomienda a los dispositivos que se ejecutan en los sistemas operativos antes mencionados que apliquen el parche disponible inmediatamente y cierren la puerta a la explotación. En todos los casos, los exploits pueden activarse simplemente visitando un sitio web malicioso (pero aparentemente inofensivo), por lo que el problema se introduce de forma silenciosa y sin ninguna interacción del usuario.
La lista completa de las fallas y su impacto es la siguiente:
- CVE-2021-30665: Una falla de corrupción de memoria en WebKit que podría permitir que contenido web creado con fines malintencionados provoque la ejecución de código arbitrario en el dispositivo de destino. Afecta a iOS, iPadOS, macOS y watchOS.
- CVE-2021-30663: Una vulnerabilidad de desbordamiento de enteros en WebKit, que potencialmente permite la ejecución de código arbitrario a través de contenido web creado con fines malintencionados. Afecta a iOS, iPadOS y macOS.
- CVE-2021-30666: Error de desbordamiento del búfer que sienta las bases para la ejecución de código arbitrario mediante el procesamiento de contenido web creado con fines malintencionados. Afecta a iOS heredado 12.5 y está arreglado con la versión 12.5.3.
Todas estas fallas están siendo explotadas activamente en la naturaleza, dirigidas principalmente a usuarios de iPhone. Hemos visto el mismo problema de día cero de WebKit en iOS 14.4 en marzo de 2021, en una versión anterior de la misma rama en enero de 2021 y en iOS 14.2 en noviembre de 2020. Los días cero de WebKit parecen ser la mayor fuente de dolores de cabeza para Appley el objetivo más valioso para actores maliciosos, desarrolladores y vendedores de exploits.
Como siempre, Apple no ha elaborado mucho sobre el aspecto de la explotación, ni ha revelado detalles como quién se enfrentó a quién, la escala de la explotación, el número de usuarios potencialmente afectados, los temas de ataque, los IoC, los sitios web utilizados, etc. Esto es desafortunado, pero es AppleEs el enfoque típico al respecto, por lo que tendremos que aceptarlo y simplemente aplicar los parches tal como vienen.
