Apple lanzó el dia de ayer martes actualizaciones para iOS, iPadOS y tvOS con correcciones para tres vulnerabilidades de seguridad que, según afirma la empresa de la manzana, pueden haber sido explotadas activamente por cibercriminales.
Informado por un investigador anónimo, las tres fallas de día cero (CVE-2021-1782, CVE-2021-1870 y CVE-2021-1871) podrían haber permitido a un atacante elevar privilegios y lograr la ejecución remota de código.
El fabricante del iPhone no reveló cuán extendido fue el ataque ni reveló las identidades de los atacantes que los explotan activamente.
Si bien el error de escalada de privilegios en el kernel (CVE-2021-1782) se señaló como una condición de carrera que podría hacer que una aplicación maliciosa elevara sus privilegios, las otras dos fallas de seguridad, denominadas como un «problema lógico», se descubrieron en el navegador WebKit. Engine (CVE-2021-1870 y CVE-2021-1871), lo que permite a un atacante lograr la ejecución de código arbitrario dentro de Safari.
Si bien es poco probable que los detalles exactos del exploit que aprovechan las fallas se hagan públicos hasta que los parches se hayan aplicado a la mayoría de dispositivos, no sería una sorpresa si estuvieran encadenados para llevar a cabo ataques contra posibles objetivos.
Tal ataque implicaría cargar el código malicioso simplemente visitando un sitio web comprometido que luego se aprovecha de las vulnerabilidades mencionadas anteriormente para escalar sus privilegios y ejecutar comandos arbitrarios para tomar el control del dispositivo.
Las actualizaciones ahora están disponibles para iPhone 6s y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores y iPod touch (séptima generación), así como para Apple TV 4K y Apple TV HD.