Múltiples vulnerabilidades en Apple
INTRODUCCIÓN
Apple ha publicado 59 vulnerabilidades en sus productos, tanto para algunas versiones de MacOs, como para diferentes versiones de iOS e iPadOS. También en versiones de Apple TV y Apple Watch. A continuación vamos a detallar las más críticas:
(CVE-2023-23529, CVE-2023-27949, CVE-2023-27946, CVE-2023-27935,CVE-2023-27953, CVE-2023-27958)
ANÁLISIS
CVE-2023-23529:
La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema de destino. La vulnerabilidad existe debido a un error de confusión de tipo al analizar contenido web en WebKit. Un atacante remoto puede engañar a la víctima para que visite un sitio web especialmente diseñado, desencadenar un error de confusión de tipo y ejecutar código arbitrario en el sistema de destino. Tenga en cuenta que la vulnerabilidad está siendo explotada activamente.
CVE-2023-27949:
La vulnerabilidad permite a un atacante remoto acceder a información potencialmente sensible. La vulnerabilidad existe debido a una condición de límite en la E/S del modelo. Un atacante remoto puede crear un archivo especialmente diseñado, engañar a la víctima para que lo abra, provocar un error de lectura fuera de los límites y leer el contenido de la memoria del sistema o ejecutar código arbitrario.
CVE-2023-27946:
La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema de destino. La vulnerabilidad existe debido a un error de contorno en ImageIO. Un atacante remoto puede crear un archivo especialmente diseñado, engañar a la víctima para que lo abra, provocar la corrupción de memoria y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.
CVE-2023-27935,CVE-2023-27953, CVE-2023-27958:
La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema de destino. La vulnerabilidad existe debido a un error de frontera en dcerpc. Un atacante remoto puede enviar tráfico especialmente diseñado al sistema, provocar la corrupción de memoria y ejecutar código arbitrario. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable.
VERSIONES AFECTADAS
CVE-2023-23529:
iPadOS: 15.0 19A346 - 15.7.3 19H307
Apple iOS: 15.0 19A346 - 15.7.3 19H307
CVE-2023-27949:
iPadOS: 15.0 19A346 - 15.7.3 19H307
Apple iOS: 15.0 19A346 - 15.7.3 19H307
macOS: 13.0 22A380 - 13.2.1 22D68
macOS: 12.0 21A344 - 12.6.3 21G419
CVE-2023-27946:
iPadOS: 15.0 19A346 - 15.7.3 19H307
Apple iOS: 15.0 19A346 - 15.7.3 19H307
macOS: 13.0 22A380 - 13.2.1 22D68
macOS: 12.0 21A344 - 12.6.3 21G419
macOS: 11.0 20A2411 - 11.7.4 20G1120
CVE-2023-27935,CVE-2023-27953, CVE-2023-27958:
macOS: 13.0 22A380 - 13.2.1 22D68
RECOMENDACIONES
Para todos los dispositivos afectados se recomienda actualizar siguiendo las instrucciones del vendedor.
REFERENCIAS
https://support.apple.com/en-us/HT201222
https://support.apple.com/es-es/HT213673
https://support.apple.com/es-es/HT213676
https://support.apple.com/es-es/HT213675
https://support.apple.com/es-es/HT213677
https://support.apple.com/es-es/HT213670
