Apple parchea de urgencia vulnerabilidad zero‑day en iOS y iPadOS


El fallo está siendo explotado activamente por atacantes desconocidos y afecta a una amplia gama de dispositivos, incluidos modelos de iPhone, iPad y Apple Watch.

Apple lanzó una actualización de emergencia para sus sistemas operativos iOS, iPadOS y watchOS para reparar una vulnerabilidad zero-day que se está bajo activa explotación. El fallo afecta a varios modelos de iPhone, iPad, Apple Watch y iPod touch.

“Apple está al tanto de un informe que indica que este fallo puede haber estado siendo explotado activamente”, se lee en el aviso de seguridad que publicó Apple y que describe este fallo que está siendo reparado con el lanzamiento de la versión iOS 14.4.2 y iPadOS 14.4.2.

La lista de dispositivos afectados incluye el iPhone 6s y posteriores, todas las versiones del iPad Pro, iPad Air 2 y posteriores, la quinta generación de iPad y posteriores, iPad mini 4 y posteriores, y la séptima generación del iPod touch. La compañía también emitió actualizaciones de seguridad para sus productos Apple Watch (watchOS 7.3.3).

Dada la gravedad de la amenaza, Apple también lanzó una actualización (iOS 12.5.2) para dispositivos más antiguos como el iPhone 5s y el iPhone 6. En un esfuerzo por proteger a sus clientes, la compañía no dio a conocer ninguna información sobre los perpetradores o el objetivo de los ataques. Mientras tanto, los Equipos de Respuesta a Emergencias Informáticas (CERT) de Estados Unidos, Hong Kong y Singapur emitieron alertas instando a los usuarios de los dispositivos afectados a aplicar las actualizaciones de inmediato.

Registrada como CVE-2021-1879, la falla de seguridad reside en WebKit, el motor de navegador web de código abierto de Apple utilizado por el navegador Safari, Mail y varias otras aplicaciones de iOS y iPadOS. “El procesamiento de contenido web creado con fines malintencionados puede derivar en ataques de cross site scripting universales”, se lee en la descripción de la vulnerabilidad.

Según CyberSecurityHelp, un atacante remoto que logre engañar a su víctima para que haga clic en un enlace especialmente diseñado y ejecute código arbitrario le permitiría robar datos confidenciales, realizar un ataque de phishing o de drive-by-download, así como cambiar la apariencia del sitio web.

El descubrimiento y la divulgación de la vulnerabilidad fue atribuido a Clément Lecigne y Billy Leonard, del Grupo de Análisis de Amenazas de Google. Esta no es la primera vez que los investigadores de seguridad de Google descubren un error que afecta a los dispositivos de Apple. El año pasado, por ejemplo, el equipo Project Zero de Google encontró tres vulnerabilidades zero-day que afectaban a una larga lista de productos de Apple. A principios de este año, Apple tuvo que lanzar también una actualización de emergencia para mitigar tres zero-day que también afectaron a una amplia gama de sus productos.

Si no tiene habilitadas las actualizaciones automáticas, puede actualizar su iPhone y iPad manualmente accediendo al menú Configuración, seleccionar la opción General y luego ir a la sección Actualización de software.