Fecha de publicación: 14/09/2022 Nivel de peligrosidad: Crítica
El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de parches de seguridad para productos de Apple.
Apple ha publicado diversos avisos relacionados con una vulnerabilidad identificada bajo el CVE-2022-32917, que afecta a sus productos con sistemas operativos iOS, iPadOS, macOS Big Sur y macOS Monterey.
Es un fallo que permite la ejecución de código arbitrario en los dispositivos vulnerables y puede producir una corrupción de la memoria. El resultado de una correcta explotación de dicho error permite a una aplicación local escalar privilegios en el sistema.
De acuerdo con la información publicada, esta vulnerabilidad podría estar siendo explotada activamente en ataques dirigidos, por lo que se recomienda que los usuarios apliquen las actualizaciones correspondientes en los dispositivos afectados.
A continuación, se muestran los detalles técnicos de la vulnerabilidad publicada por el fabricante con el CVE correspondiente y una breve descripción.
CVE-2022-32917: Vulnerabilidad que existe debido a un boundary error en el Kernel del sistema operativo afectado. Un atacante, a través de una aplicación local, puede llegar a producir una corrupción de memoria y ejecutar código arbitrario con privilegios elevados. Una correcta explotación puede llegar a producir una escalada de privilegios en el sistema comprometido.
La base de datos del NIST no ha registrado la vulnerabilidad descrita, por lo que, aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada bajo el CVE-2022-32917 como crítica. Apple ha informado que tiene conocimiento de que la vulnerabilidad se está explotando activamente pero no se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado ni exploits que aprovechen el fallo reportado.
Recursos afectados
La vulnerabilidad reportada afecta a las siguientes versiones:
- iOS Versiones 15.0 19A346 - 15.6.1 19G82
- iPadOS Versiones 19A346 - 15.6.1 19G82
- macOS Big Sur Versiones 11.0 20A2411 - 11.6.8 20G730
- macOS Monterey Versiones 12.0 21A344 - 12.5.1 21G83
Cabe destacar que los productos que se ven afectados son:
- iPhone 6s y posteriores
- Todos los modelos de IPad Pro
- iPad Air 2 y posteriores
- iPad de 5ª generación y posteriores
- iPad mini 4 y posteriores
- iPod Touch de 7ª generación
Soluciones a la vulnerabilidad
El error, reportado por un investigador anónimo, ha sido corregido por Apple en las versiones iOS 15.7, iPadOS 15.7, macOS Big Sur 11.7 y macOS Monterrey 12.6.
Las actualizaciones pueden encontrarse en el siguiente enlace:
Además el fabricante proporciona las instrucciones que se adjuntan a continuación con la finalidad de facilitar la correcta aplicación de los parches correspondientes:
Recomendaciones
Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se conocen medidas de mitigación alternativas para esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas.
Referencias
Atentamente,
Equipo CCN-CERT
|