Apple parchea la vulnerabilidad de procesamiento de imágenes de día 0 “sin hacer clic” en iOS y macOS

Apple ha lanzado hoy actualizaciones de seguridad para iOS, iPadOS, macOS y watchOS para corregir fallas de seguridad de día cero explotadas activamente que pueden usarse para instalar malware a través de una “imagen creada con fines malintencionados” o un archivo adjunto. Las actualizaciones de iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 y watchOS 9.6.2 corrigen las fallas en todas las plataformas de Apple. Al momento de escribir este artículo, no se han publicado actualizaciones para versiones anteriores como iOS 15 o macOS 12.

Las fallas CVE-2023-41064 y CVE-2023-41061 fueron reportadas por el Citizen Lab de la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto. También denominado «BLASTPASS», Citizen Lab dice que los errores son graves porque pueden explotarse simplemente cargando una imagen o un archivo adjunto, lo que ocurre regularmente en Safari, Mensajes, WhatsApp y otras aplicaciones propias y de terceros. Estos errores también se denominan vulnerabilidades de “clic cero” o “sin clic”.

Citizen Lab también dijo que el error BLASTPASS estaba «siendo utilizado para entregar el software espía mercenario Pegasus de NSO Group «, el último de una larga lista de exploits similares que se han utilizado para infectar dispositivos iOS y Android completamente parcheados.

Los usuarios preocupados por este tipo de fallas pueden mitigarlas de manera proactiva habilitando el modo de bloqueo en sus dispositivos iOS y macOS; entre otras cosas, bloquea muchos tipos de archivos adjuntos y desactiva las vistas previas de enlaces, los tipos de vectores de ataque que los atacantes pueden utilizar para explotar estas vulnerabilidades «sin hacer clic».

«Creemos, y el equipo de Arquitectura e Ingeniería de Seguridad de Apple nos lo ha confirmado, que el modo de bloqueo bloquea este ataque en particular», dijo Citizen Lab.

Es probable que estas actualizaciones sean algunas de las últimas que se lanzarán antes del evento de anuncio de productos de septiembre de Apple la próxima semana , donde esperamos obtener fechas de lanzamiento para iOS 17 , iPadOS 17 y posiblemente otro software.