Log in
logo

COUNTERING CYBER THREATS

barra-separadora
Cabecera
separador
Actualizaciones para vulnerabilidades en productos Apple

Fecha de publicación: 16/09/2021
Nivel de peligrosidad: CRÍTICO

La Capacidad de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de varias vulnerabilidades en productos Apple. Estas vulnerabilidades afectan a sus productos con sistemas operativos macOS, sistemas operativos iOS y sistemas operativos iOS watchOS (Apple Watch) y se dispone de parche de seguridad para corregirlas.

A estas vulnerabilidades se les han asignado los CVE-2021-30858 y CVE-2021-30860, respectivamente. Son fallos que permiten la ejecución de código arbitrario de forma remota (RCE) en dispositivos vulnerables simplemente visitando un sitio web dañino o al procesar archivos PDF. Las vulnerabilidades de RCE se consideran las más peligrosas, ya que permiten a los atacantes ejecutar comandos de forma remota, pudiendo comprometer por completo el sistema atacado.

Apple está al tanto de que este problema puede haber sido explotado activamente, sin embargo, no se han dado más detalles sobre el alcance de posibles ataques. Así mismo, a continuación se muestran los detalles técnicos publicados hasta la fecha de ambas vulnerabilidades:

  • CVE-2021-30858: vulnerabilidad que existe debido a un error de tipo use-after-free (uso de memoria previamente liberada) al procesar contenido HTML en WebKit. Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada, desencadenar un error de este tipo y ejecutar código arbitrario en el sistema. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable.
  • CVE-2021-30860: vulnerabilidad que existe debido a un desbordamiento de enteros al procesar archivos PDF dentro del componente CoreGraphics. Un atacante remoto puede engañar a la víctima para que abra un archivo PDF especialmente diseñado, desencadenar un desbordamiento de enteros y ejecutar código arbitrario en el sistema de destino.

Por el momento, la base de datos del NIST ha registrado estas vulnerabilidades, pero no se les ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, investigadores de la compañía Apple han calificado estos fallos con una importancia crítica, puesto que se trata de errores que pueden comprometer por completo el dispositivo afectado y se tienen constancia que se están explotando activamente en la red.

Recursos afectados:                      

Las versiones afectadas por las anteriores vulnerabilidades son las siguientes:

  • macOS Big Sur en su versión 11.5 y anteriores.
  • macOS Catalina 2021-004 y anteriores.
  • Apple Watch versión 7.6.1 y anteriores.
  • iOS versión 14.7 y anteriores.
  • iPadOS versión 14.7 y anteriores.
  • Safari versión 14.1.1 y anteriores.

Solución a las vulnerabilidades:

Apple ha lanzado actualizaciones de seguridad para corregir estas vulnerabilidades y bloquear posibles campañas de malware que puedan abusar activamente de ellas.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas para solucionar estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.

Referencias:

Atentamente,

Equipo CCN-CERT

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Go back

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración