La lluita del gat i el ratolí d’Apple amb els exploits de dia zero en la seva plataforma insígnia iOS no mostra signes de desacceleració.
El fabricant de dispositius de Califòrnia va llançar el dimecres un nou pegat per a cobrir un parell de vulnerabilitats greus i va advertir que un dels problemes ja ha estat explotat com a dia zero.
En un avís bàsic, Apple va dir que la vulnerabilitat del kernel CVE-2023-42824 explotada permet a un atacant local elevar privilegis, la qual cosa suggereix que es va usar en una cadena d´exploits en els atacs observats.
“Apple té coneixement d’un informe que aquest problema pot haver estat explotat activament en versions de iOS anteriors a iOS 16.6”, va dir la companyia sense proporcionar detalls addicionals.
Aquest és el dia zero número 16 documentat contra dispositius iOS, iPadOS i macOS d’Apple, segons dades rastrejades per SecurityWeek.
La majoria d’aquests atacs s’han atribuït a proveïdors mercenaris de programari espia que venen productes de vigilància.
Les actualitzacions més recents d’iOS 17.0.3 i iPadOS 17.0.3 també cobreixen una vulnerabilitat de desbordament de búfer en WebRTC que exposa els dispositius mòbils a atacs d’execució de codi arbitrari.
El problema es va solucionar actualitzant a libvpx 1.13.1, va dir Apple.
Apple està animant als usuaris al fet que habilitin Lockdown Mode si sospites d’un atac; per a reduir l’exposició a exploits.