Dentro de los habituales problemas de seguridad que tienen los sistemas operativos, en el caso de los de Apple se han descubierto un par de día cero que estaban siendo activamente explotados. Estos fallos tienen que ver con el núcleo del sistema operativo, compartido por todos los SS. OO. de la compañía (CVE-2023-32434), y con WebKit, el motor de renderizado de Safari (CVE-2023-32439).
Es importante actualizar los dispositivos de Apple lo antes posible, para lo cual la compañía ha distribuido las versiones de iOS 16.5.1, iPadOS 16.5.1, macOS 13.4.1 y watchOS 9.5.2. Ambos fallos permiten la ejecución de cualquier tipo de código que quiera el atacante, o código arbitrario, en los sistemas operativos afectados. En el caso de iOS e iPadOS, también corrigen un problema de WebKit (CVE-2023-32435) que también permite la ejecución de código arbitrario.
Muchas veces por sí solo estos fallos no son suficientes para ser un problema, pero son un vector de ataque a combinarse con otros posibles fallos y por tanto podrían permitir la ejecución remota de código arbitrario, que es bastante más grave. Sobre todo en el caso de poderse explotar desde Safari. Un ataque de este tipo que afecte al núcleo del SO, con mayores permisos, podría dar pie a otros fallos, como extraer claves de cifrado.
Vía: Ars Technica.