Apple ha lanzado una serie de actualizaciones de software en sus diversas líneas de productos con el objetivo de protegerse del impacto de dos días cero recién descubiertos, los cuales pueden haber sido explotados en la naturaleza.
Las correcciones para CVE-2024-44308 y CVE-2024-44309, ambas atribuidas a Clément Lecigne y Benoît Sevens del Grupo de Análisis de Amenazas de Google, afectan a los dispositivos que ejecutan iOS y iPadOS 17.7.2 y 18.1.1, macOS Sequoia 15.1.1, y visionOS 2.1.1. También están presentes en Safari 18.1.1.
CVE-2024-44308 afecta el marco JavaScriptCore y permite que un actor de amenazas logre la ejecución de código arbitrario si se puede hacer que el dispositivo de destino procese contenido web creado con fines malintencionados. Según Apple, hay informes de que ya ha sido explotado activamente en sistemas Mac basados en Intel.
CVE-2024-44309 afecta al motor de navegador WebKit de código abierto que se utiliza ampliamente en el ecosistema de Apple y se describe como un problema de administración de cookies que permitió a un actor de amenazas realizar un ataque de secuencias de comandos entre sitios (XSS).
En un ataque XSS, un actor de amenazas puede insertar datos maliciosos en contenido de sitios web confiables, que luego se incluyen con el contenido entregado al navegador de la víctima. Se pueden utilizar para lograr una serie de objetivos, incluido el robo de cookies de sesión, lo que permite al actor de la amenaza hacerse pasar por la víctima, pero también se utilizan para propagar malware y robar credenciales.
Nuevamente, hay informes de explotación salvaje de CVE-2024-44309 contra Mac basadas en Intel.
WebKit en riesgo
Michael Covington, vicepresidente de estrategia de Jamf, una empresa de gestión de dispositivos especializada en productos Apple, dijo que es muy importante que los defensores aborden rápidamente las vulnerabilidades en WebKit, dada la importancia del marco para el navegador web Safari.
“Las correcciones proporcionadas por Apple introducen controles más estrictos para detectar y prevenir actividades maliciosas, además de mejorar la forma en que los dispositivos administran y rastrean los datos durante la navegación web. Dado que los atacantes pueden explotar ambas vulnerabilidades, es fundamental que los usuarios y las organizaciones móviles apliquen los últimos parches tan pronto como puedan”, dijo Covington.
CVE-2024-44309 no es el primer problema que afecta a WebKit identificado este año. A finales de enero, Apple parcheó CVE-2024-23222, que también entró en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
También explotado como día cero, CVE-2024-23222 era un error de confusión de tipos que conducía a la ejecución de código arbitrario en el dispositivo vulnerable.
Como siempre, Apple ha proporcionado pocos detalles sobre cualquiera de estas vulnerabilidades o cómo se han aprovechado. Sin embargo, su identificación por parte de equipos de Google que han trabajado anteriormente en vulnerabilidades explotadas por proveedores depredadores de software espía comercial (como la desacreditada empresa israelí NSO) puede indicar el tipo de personas a las que estos nuevos fallos pueden resultar de interés.
Apple permanece alerta a estos problemas y, en particular, emitió una alerta de seguridad a los usuarios de iOS en más de 90 países en abril, después de detectar que estaban siendo objetivo de un ataque de software espía mercenario que comprometía remotamente sus dispositivos.
Como de costumbre, los usuarios de Apple que no han habilitado las actualizaciones automáticas pueden descargar los parches navegando al menú Configuración de su dispositivo, luego a General y luego a Actualización de software.