|
Fecha de publicación: 16/09/2021
Nivel de peligrosidad: CRÍTICO
La Capacidad de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de varias vulnerabilidades en productos Apple. Estas vulnerabilidades afectan a sus productos con sistemas operativos macOS, sistemas operativos iOS y sistemas operativos iOS watchOS (Apple Watch) y se dispone de parche de seguridad para corregirlas.
A estas vulnerabilidades se les han asignado los CVE-2021-30858 y CVE-2021-30860, respectivamente. Son fallos que permiten la ejecución de código arbitrario de forma remota (RCE) en dispositivos vulnerables simplemente visitando un sitio web dañino o al procesar archivos PDF. Las vulnerabilidades de RCE se consideran las más peligrosas, ya que permiten a los atacantes ejecutar comandos de forma remota, pudiendo comprometer por completo el sistema atacado.
Apple está al tanto de que este problema puede haber sido explotado activamente, sin embargo, no se han dado más detalles sobre el alcance de posibles ataques. Así mismo, a continuación se muestran los detalles técnicos publicados hasta la fecha de ambas vulnerabilidades:
- CVE-2021-30858: vulnerabilidad que existe debido a un error de tipo use-after-free (uso de memoria previamente liberada) al procesar contenido HTML en WebKit. Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada, desencadenar un error de este tipo y ejecutar código arbitrario en el sistema. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable.
- CVE-2021-30860: vulnerabilidad que existe debido a un desbordamiento de enteros al procesar archivos PDF dentro del componente CoreGraphics. Un atacante remoto puede engañar a la víctima para que abra un archivo PDF especialmente diseñado, desencadenar un desbordamiento de enteros y ejecutar código arbitrario en el sistema de destino.
Por el momento, la base de datos del NIST ha registrado estas vulnerabilidades, pero no se les ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, investigadores de la compañía Apple han calificado estos fallos con una importancia crítica, puesto que se trata de errores que pueden comprometer por completo el dispositivo afectado y se tienen constancia que se están explotando activamente en la red.
Recursos afectados:
Las versiones afectadas por las anteriores vulnerabilidades son las siguientes:
- macOS Big Sur en su versión 11.5 y anteriores.
- macOS Catalina 2021-004 y anteriores.
- Apple Watch versión 7.6.1 y anteriores.
- iOS versión 14.7 y anteriores.
- iPadOS versión 14.7 y anteriores.
- Safari versión 14.1.1 y anteriores.
Solución a las vulnerabilidades:
Apple ha lanzado actualizaciones de seguridad para corregir estas vulnerabilidades y bloquear posibles campañas de malware que puedan abusar activamente de ellas.
Recomendaciones:
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento no se conocen medidas de mitigación alternativas para solucionar estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.
Referencias:
Atentamente,
Equipo CCN-CERT
|
