Apple ha publicado parches de emergencia para vulnerabilidades Zero-Day en iOS, ipadOS, macOS y watchOS. Las vulnerabilidades permiten a un atacante ejecutar código arbitrario si un usuario abre contenido web malicioso. La urgencia se debe debido a que el fallo está siendo explotado activamente por atacantes desconocidos y afecta a una amplia gama de dispositivos, incluidos modelos de iPhone, iPad y Apple Watch.
Apple indica que "este fallo puede haber estado siendo explotado activamente", se lee en el aviso de seguridad que publicó Apple y que describe este fallo que está siendo reparado con el lanzamiento de la versión iOS 14.4.2 y iPadOS 14.4.2.
Un atacante remoto que logre engañar a su víctima para que haga clic en un enlace especialmente diseñado y ejecute código arbitrario le permitiría robar datos confidenciales, realizar un ataque de phishing o de drive-by-download, así como cambiar la apariencia del sitio web
La lista de dispositivos afectados incluye el iPhone 6s y posteriores, todas las versiones del iPad Pro, iPad Air 2 y posteriores, la quinta generación de iPad y posteriores, iPad mini 4 y posteriores, y la séptima generación del iPod touch. La compañía también emitió actualizaciones de seguridad para sus productos Apple Watch (watchOS 7.3.3).
Dada la gravedad de la amenaza, Apple también lanzó una actualización (iOS 12.5.2) para dispositivos más antiguos como el iPhone 5s y el iPhone 6. En un esfuerzo por proteger a sus clientes, la compañía no dio a conocer ninguna información sobre los perpetradores o el objetivo de los ataques.
Mientras tanto, los Equipos de Respuesta a Emergencias Informáticas (CERT) de Estados Unidos, Hong Kong y Singapur emitieron alertas instando a los usuarios de los dispositivos afectados a aplicar las actualizaciones de inmediato.
Registrada como CVE-2021-1879, la falla de seguridad reside en WebKit, el motor de navegador web de código abierto de Apple utilizado por el navegador Safari, Mail y varias otras aplicaciones de iOS y iPadOS. El procesamiento de contenido web creado con fines malintencionados puede derivar en ataques de cross site scripting universales”, se lee en la descripción de la vulnerabilidad.
El descubrimiento y la divulgación de la vulnerabilidad fue atribuido a Clément Lecigne y Billy Leonard, del Grupo de Análisis de Amenazas de Google.
Fuente: WeLiveSecuroty
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!