Apple ha advertido a los usuarios de iPhone y Mac del descubrimiento de un fallo de día cero (zero-day) y que está siendo explotado activamente. Quien descubrió esta brecha de seguridad fue Google (y Apple ya le agradecido su aportación) y es que también afecta al WebKit del motor de su navegador. Se ha bautizado como CVE-2021-30869.
El fallo se encuentra en el kernel XNU, en el corazón de los sistemas operativos de Apple, incluyendo macOS e iOS. Como explica un pequeño informe de Apple, eso se traduce a que "una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del kernel".
Este XNU está disponible para macOS Catalina y en cuanto a su impacto explica Apple que "una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del kernel. "Apple tiene constancia de que existe un exploit para este problema", han dicho desde la empresa.
Cómo ponerle solución, según Apple
La compañía dice que el fallo existía gracias a un "problema de confusión de tipos" que se solucionó "con una mejora en el manejo de estados" y asegura que la solución es la actualización de seguridad 2021-006 Catalina.
El problema también está presente en versiones anteriores de iOS, y afecta al iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad Mini 2, iPad Mini 3 y iPod Touch.
Con todo este, The Register alerta de que Apple parece no haber arreglado un fallo similar de ejecución remota de código en el Finder de macOS, a pesar de que investigadores de terceros han intentado arreglarlo.
Ver 1 comentarios