CCN-CERT AV 14/22 Actualización de seguridad en Apple

Cabecera
separador
Actualización de seguridad en Apple

Fecha de publicación: 14/09/2022
Nivel de peligrosidad: Crítica

El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de parches de seguridad para productos de Apple.

Apple ha publicado diversos avisos relacionados con una vulnerabilidad identificada bajo el CVE-2022-32917, que afecta a sus productos con sistemas operativos iOS, iPadOS, macOS Big Sur y macOS Monterey.

Es un fallo que permite la ejecución de código arbitrario en los dispositivos vulnerables y puede producir una corrupción de la memoria. El resultado de una correcta explotación de dicho error permite a una aplicación local escalar privilegios en el sistema.

De acuerdo con la información publicada, esta vulnerabilidad podría estar siendo explotada activamente en ataques dirigidos, por lo que se recomienda que los usuarios apliquen las actualizaciones correspondientes en los dispositivos afectados.

A continuación, se muestran los detalles técnicos de la vulnerabilidad publicada por el fabricante con el CVE correspondiente y una breve descripción.

CVE-2022-32917: Vulnerabilidad que existe debido a un boundary error en el Kernel del sistema operativo afectado. Un atacante, a través de una aplicación local, puede llegar a producir una corrupción de memoria y ejecutar código arbitrario con privilegios elevados. Una correcta explotación puede llegar a producir una escalada de privilegios en el sistema comprometido.

La base de datos del NIST no ha registrado la vulnerabilidad descrita, por lo que, aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada bajo el CVE-2022-32917 como crítica. Apple ha informado que tiene conocimiento de que la vulnerabilidad se está explotando activamente pero no se han publicado pruebas de concepto (PoC) sobre los detalles del fallo publicado ni exploits que aprovechen el fallo reportado.

Recursos afectados

La vulnerabilidad reportada afecta a las siguientes versiones:

  • iOS Versiones 15.0 19A346 - 15.6.1 19G82
  • iPadOS Versiones 19A346 - 15.6.1 19G82
  • macOS Big Sur Versiones 11.0 20A2411 - 11.6.8 20G730
  • macOS Monterey Versiones 12.0 21A344 - 12.5.1 21G83

Cabe destacar que los productos que se ven afectados son:

  • iPhone 6s y posteriores
  • Todos los modelos de IPad Pro
  • iPad Air 2 y posteriores
  • iPad de 5ª generación y posteriores
  • iPad mini 4 y posteriores
  • iPod Touch de 7ª generación

Soluciones a la vulnerabilidad

El error, reportado por un investigador anónimo, ha sido corregido por Apple en las versiones iOS 15.7, iPadOS 15.7, macOS Big Sur 11.7 y macOS Monterrey 12.6.

Las actualizaciones pueden encontrarse en el siguiente enlace:

Además el fabricante proporciona las instrucciones que se adjuntan a continuación con la finalidad de facilitar la correcta aplicación de los parches correspondientes:

Recomendaciones

Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas para esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas.

Referencias

Atentamente,

Equipo CCN-CERT

 
 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT