Fecha de publicación: 25/07/2023
Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en Apple en el que se destaca una vulnerabilidad, identificada bajo el CVE-2023-38606, y que afecta a sus productos con sistemas operativos iOS, iPadOS y macOS. Cabe señalar que dicha vulnerabilidad, la cual ha sido reportada por un investigador anónimo, permite ejecutar código arbitrario en el sistema de destino.

De acuerdo a la información publicada, la vulnerabilidad podría haber sido explotada activamente en ataques dirigidos. El fabricante recomienda que los usuarios apliquen las actualizaciones correspondientes en los dispositivos afectados.

La base de datos del NIST no ha registrado la vulnerabilidad descrita, por lo que aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada como crítica. Apple ha informado de que tiene conocimiento de que la vulnerabilidad ha podido ser explotada de manera activa, pero no se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados ni exploits que aprovechen el fallo reportado.

Recursos afectados

La vulnerabilidad reportada afecta a las siguientes versiones:

• macOS: versiones anteriores a 13.4.1 (a)
• iOS: versiones anteriores a 16.5.1 (a)
• iPadOS: versiones anteriores a 16.5.1 (a)

Solución a la vulnerabilidad

Los errores han sido corregidos por Apple en las versiones iOS 16.6, iPadOS 16.6 y macOS 13.5.

Las actualizaciones pueden encontrarse en el siguiente enlace:

• Actualizaciones de seguridad

Además de lo anterior, el fabricante proporciona las instrucciones siguientes para facilitar la correcta aplicación de las mismas:

• Actualizar el software de iPhone o iPad
• Actualizar macOS en Mac

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias:

• About the security content of iOS 16.6 and iPadOS 16.6
• Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks
• Apple fixes exploited zero-day in all of its OSes (CVE-2023-38606)