Apple ha lanzado las correcciones de dos errores de "día cero" en su última actualización de seguridad que afectaban a los iPhone, los iPads y los ordenadores Mac con la versión macOS Ventura.
Un ataque de día cero, también conocido como 0day o 'zero day', es un tipo de ciberataque contra una aplicación o sistema que trata de instaurar un código malicioso explotando las vulnerabilidades de su objetivo que por norma general son desconocidas por el propietario del sistema o app y los usuarios.
Esto supone un problema para la compañía, ya que como reconoció en el comunicado la semana pasada "Apple es consciente de que este problema puede haber sido explotado activamente", aunque por ahora desconocemos la magnitud del daño.
Al parecer esta vulnerabilidad, que ha recibido el nombre de CVE-2023-28206, permitía a los usuarios escribir fuera de los límites de IOSurface Accelerator, lo que podría provocar el bloqueo de dispositivos o que se ejecutasen códigos de forma arbitraria.
Esto permitiría a un ciberdelincuente obtener privilegios kernel que en consecuencia les darían acceso a los dispositivos objetivo y la información que albergan. Esta actualización de seguridad se ha solucionado "mejorando la validación de entrada" que está disponible para macOS Ventura, aunque la misma también corrige el otro error 'zero day' CVE-2023-28205 que afectaba a WebKit.
A parte de la actualización en macOS Ventura 13.3.1, estas vulnerabilidades se han solucionado en iOS 16.4.1, iPadOS 16.4.1 y Safari 16.4.1. Esto significa que entre los dispositivos vulnerables y afectados por este error encontramos el iPhone 8 y todas las generaciones posteriores además de todas las versiones de iPad Pro, iPad Air de 3ª generación y posteriores; y el iPad Mini de 5ª generación y posteriores.
