Apple ha lanzado correcciones para una vulnerabilidad que afecta a los modelos más antiguos de iPhone y iPad que podría conducir a la ejecución remota de código (RCE).
El gigante tecnológico lanzó las actualizaciones iOS 15.7.4 y iPadOS 15.7.4 junto con las nuevas versiones iOS 16.4 y iPadOS 16.4 (para los modelos más recientes de Apple) el lunes.
El fallo afecta a varios dispositivos antiguos de Apple, incluidos todos los modelos de iPhone 6s y iPhone 7, los iPhone SE de primera generación, el iPad Air 2, el iPad mini de cuarta generación y el iPod touch de séptima generación.
La vulnerabilidad (CVE-2023-23529) se refiere a un error de confusión de tipos en el motor del navegador WebKit. Según los informes, Apple lo corrigió el 13 de febrero, pero no lo reveló hasta el lunes.
Al mismo tiempo, la compañía con sede en Cupertino dijo que eran conscientes de «un informe de que este problema puede haber sido explotado activamente.»
Como es habitual, la compañía no compartió detalles sobre cómo la vulnerabilidad estaba siendo explotada en la naturaleza o cuál era su impacto en los usuarios de iPhone y iPad. Apple dijo que el problema de confusión de tipo se abordó con controles mejorados. El descubrimiento se atribuyó a un investigador anónimo.
Los parches llegan unos meses después de que Apple publicara una corrección independiente para un fallo de seguridad de día cero (CVE-2022-42856) que se explotaba activamente en el mercado.
Más recientemente, investigadores de ciberseguridad de Trellix han sacado a la luz seis vulnerabilidades en macOS e iOS, y una clase de fallo completamente nueva basada en el ataque ForcedEntry utilizado para desplegar el malware móvil Pegasus de NSO Group.