Apple ha revelado recientemente dos vulnerabilidades de iOS que “pueden haber sido explotadas” por actores maliciosos, según reconoció la propia compañía. Como parte de la última actualización de seguridad para iOS 17.4 y iPadOS 17.4, la empresa anunció y publicó parches para dos fallos de día cero: CVE-2024-23225 y CVE-2024-23296. 

Introducción de CVE-2024-23225 y CVE-2024-23296

CVE-2024-23225 es un “problema de corrupción de memoria que afecta al kernel (una parte del software que constituye un elemento fundamental del sistema operativo), según Apple. En un comunicado la multinacional de la manzana mordida añadió que “un atacante con capacidad de lectura y escritura arbitraria en el kernel podría ser capaz de saltarse las protecciones de memoria del mismo”. 

En cuanto a CVE-2024-23296 tiene una descripción idéntica. Aunque éste es específico de RTKit, un sistema operativo contenido en la mayoría de los chips, periféricos y dispositivos integrados de Apple. La empresa no ha proporcionado más detalles en el comunicado ni ha citado a investigadores concretos como descubridores de esta alerta de seguridad. 

La compañía se ha limitado a subrayar que en ambos casos las vulnerabilidades “pueden haber sido explotadas” en dispositivos en uso. Y que ambos problemas se abordaron a través de mecanismos de “validación mejorada. Tampoco se asignó inmediatamente una puntuación CVSS -escala utilizada para determinar el impacto de una vulnerabilidad- a ninguna de las dos.

Especialistas independientes en seguridad han señalado que la capacidad de los defectos para eludir las protecciones de memoria del kernel “parece ser un camino directo a la escalada de privilegios” en caso de que un hacker tome el control del dispositivo. Otros han señalado que la falta de investigadores acreditados como descubridores puede sugerir una investigación aún en curso en busca de problemas adicionales. En cualquier caso, una actualización inmediata de los dispositivos es aconsejable

Ambos fallos afectan a múltiples modelos y dispositivos. En concreto el iPhone XS y versiones posteriores, el iPad Pro de 12,9 pulgadas de 2ª generación y versiones posteriores, el iPad Pro de 10,5 pulgadas, el iPad Pro de 11 pulgadas de 1ª generación y versiones posteriores, el iPad Air de 3ª generación y versiones posteriores, iPad de 6ª generación y versiones posteriores, iPad mini de 5ª generación y versiones posteriores.

Nuevo zero day

CVE-2024-23225 y CVE-2024-23296 han marcado el segundo y tercer zero-days que Apple ha tenido que abordar este año. El primero se produjo en enero: CVE-2024-23222, que Apple corrigió con una actualización similar. CVE-2024-23222 es un problema de confusión de tipo (type confussion) en WebKit. Apple lo describió explicando que “procesar contenido web maliciosamente diseñado puede llevar a la ejecución de código arbitrario” en los dispositivos.

A un nivel más general, Apple ha revelado una variedad de fallos de día cero en los últimos años, muchos de los cuales han estado relacionados con exploits utilizados por la industria que diseña spyware comercial. Fue el caso el pasado septiembre, cuando la compañía reveló tres vulnerabilidades que afectaban a iOS y iPadOS. 

Bill Marczak, investigador de Citizen Lab en la Universidad de Toronto y Maddie Stone, investigadora de seguridad del Grupo de Análisis de Amenazas de Google, fueron los autores del descubrimiento de los tres fallos de día cero. Poco después de la revelación, los investigadores publicaron una entrada en su blog. En esta relacionaban las vulnerabilidades con una cadena de exploits utilizada para distribuir el programa espía Predator de Cytrox.