Múltiples vulnerabilitats en productes Apple

INTRODUCCIÓ

S'han identificat múltiples vulnerabilitats en productes Apple. Un atacant remot podria explotar algunes d'aquestes vulnerabilitats per a provocar denegació de servei, elevació de privilegis, execució remota de codi, divulgació d'informació sensible, manipulació de dades i elusió de restriccions de seguretat en el sistema afectat.   

ANÀLISI

En el cas de CVE-2023-38606, es tracta d'una fallada del kernel, si s'explota, podria permetre als atacants "modificar l'estat sensible del kernel" en iPhones i Macs, donant-los potencialment el control sobre aquests dispositius. "Apple té coneixement d'un informe que indica que aquest problema pot haver estat explotat activament en versions d'iOS anteriors a iOS 15.7.1", va revelar la companyia en els avisos de seguretat que descriuen la fallada.

L'amenaça abasta una àmplia gamma de dispositius Apple, incloent macOS Big Sud, Monterey i Ventura, així com models d'iPhone des de l'iPhone 6s en endavant. També són vulnerables tots els models d'iPad Pro, iPad Air de 3a generació i posteriors, iPad de 5a generació i posteriors, iPad mini de 5a generació i posteriors, i l'iPod touch de 7a generació.

En el cas de CVE-2023-37450, és una fallada de seguretat de WebKit, i la seua explotació podria permetre a actors malintencionats executar codi arbitrari en dispositius vulnerables, fent-se així amb el control. L'atac es desenvolupa quan un usuari obre involuntàriament una pàgina web maliciosa en un dispositiu compromès. Els dispositius afectats inclouen iPhone 8 i posteriors, tots els models d'iPad Pro, iPad Air (3a generació i posteriors), iPad 5a generació i posteriors, i iPad mini 5a generació i posteriors. El macOS Ventura també figura a la llista de productes vulnerables. Aquesta fallada va ser reportada per un investigador anònim.   

RECURSOS AFECTATS

Versions anteriors a Safari 16.6
Versions anteriors a iOS 16.6 i iPadOS 16.6
Versions anteriors a iOS 15.7.8 i iPadOS 15.7.8
Versions anteriors a macOS Ventura 13.5
Versions anteriors a macOS Monterey 12.6.8
Versions anteriors a macOS Big Sud 11.7.9
Versions anteriors a tvOS 16.6
Versions anteriors a watchOS 9.6
Versions anteriors a watchOS 9.6
Versions anteriors a macOS

SOLUCIÓ
Apliqueu les correccions publicades pel proveïdor:
Safari 16.6
iOS 16.6 i iPadOS 16.6
iOS 15.7.8 i iPadOS 15.7.8
macOS Ventura 13.5
macOS Monterey 12.6.8
macOS Big Sud 11.7.9
tvOS 16.6
watchOS 9.6

Open

Actuallitzacions de seguretat productes Apple:

• https://developer.apple.com/news/releases/
  
  

Addicionalment:

• Actualitzar software iPhone o iPad

• Actualitzar macOS en Mac

Referències:

• About the security content of iOS 16.6 and iPadOS 16.6

• Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks

• Apple fixes exploited zero-day in all of its OSes (CVE-2023-38606)
  
  ℹ️ Informacions i avisos:

20240411 - BLOGS UV

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el abr 09, 2024

Captura de pantalla 2024-04-09 a las 17.56.19.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 BLOGS UV 🕘 De: 11-04-2024 - 08:00h. 🕛 A: 11-04-2024 - 10:00h. 👍🏼 Treballem per a millorar. Gràcies.

20240313 - AULA VIRTUAL UV

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el mar 01, 2024

kk.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 AULA VIRTUAL UV 🕘 De: 13-03-2024 - 07:00h. 🕛 A: 13-03-2024 - 08:30h. 👍🏼 Treballem per a millorar. Gràcies.

20240312 - nUVol (OwnCloud)

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el mar 01, 2024

dia12.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 nUVol - (OwnCloud) 🕘 De: 12-03-2024 - 08:O0h. 🕛 A: 12-03-2024 - 10:00h. 👍🏼 Treballem per a millorar. Gràcies.

20240206 - nUVol (Cancel·lada)

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el ene 29, 2024

Captura de pantalla 2024-02-01 a las 13.01.41.png Captura de pantalla 2024-01-29 a las 9.21.41.png 🔧 INTERVENCIÓ CANCEL·LADA 🖥 nUVol - (OwnCloud) 🕘 De: 06-02-2024 - 08:O0h. 🕛 A:   06-02-2024  - 10:00h. 👍🏼 Treballem per a millorar. Gràcies.

20240129 - SEU ELECTRÒNICA UV

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el ene 23, 2024

Captura de pantalla 2024-01-23 a las 9.04.37.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 SEU ELECTRÒNICA UV 🕘 De: 29-01-2024 - 08:O0h. 🕛 A: 29-01-2024 - 16:00h. 👍🏼 Treballem per a millorar. Gràcies.

🖥️ 20240126 - Aula Virtual UV

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el ene 18, 2024

Captura de pantalla 2024-01-19 a las 11.09.45.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 AULA VIRTUAL UV 🕘 De: 26-01-2024 - 22:O0h. 🕛 A: 27-01-2024 - 14:00h. 👍🏼 Treballem per a millorar. Gràcies.

20231220 - Correu Electrònic UV

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el dic 18, 2023

Captura de pantalla 2023-12-18 a las 13.09.39.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 CORREU ELECTRÒNIC UV 🕘 De: 20-12-2023 - 07:O0h. 🕛 A: 20-12-2023 - 08:00h. 👍🏼 Treballem per a millorar. Gràcies.

⛔️ 20231019 - Phishing suplantant a la Universitat de València

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el oct 19, 2023

S’ha detectat un atac de phishing als usuaris i usuàries de la Universitat de València. Es tracta d’una campanya de correus electrònics fraudulents que intenta suplantar a la Universitat de València per a aconseguir credencials. Aspecte del correu A continuació teniu l’assumpte i cos del correu electrònic que invita a fer clic en un enllaç i compartir el teu usuari i contrasenya. Assumpte: "Verifique su cuenta de correo electrónico" Cos del correu: “Querido usuario,…

🖥️ 20231020 - INTERVENCIÓ SEU ELECTRÒNICA UV

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el oct 19, 2023

Els informem que divendres 20 d’octubre a partir de les 17:30 h. està planificada una nova actualització de l'aplicació de registre GEISER per part del Ministeri d'Afers Econòmics i Transformació Digital. Aquesta intervenció afectarà la nostra seu electrònica, per la qual cosa no estarà disponible i, per tant, no es tindrà accés a cap procediment electrònic. Per la informació que se'ns ha transmès des d'aquest Ministeri, es preveu que el diumenge dia 22 finalitzen les tasques a realitzar i,…

20231004 - Correu electrònic (Estudiants)

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el oct 03, 2023

🔧 INTERVENCIÓ PROGRAMADA 🖥 Correu electrònic (Estudiants) 🕘 De: 04-10-2023 - 07:00h. 🕛 A: 04-10-2023 - 08:00h. 👍🏼 Treballem per a millorar. Gràcies. Per tasques de manteniment, el correu electrònic dels estudiants (@alumni.uv.es) no funcionarà demà de 07:00h. a 08:00h. La resta de dominis de la UV no es veurà afectat. Disculpen les molèsties. Captura de pantalla 2023-10-03 a las 14.51.34.png

20230922 - Apple posa pegats a tres noves fallades de Zero-day: iOS, macOS, Safari i més vulnerables

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el sept 22, 2023

Apple ha publicat una altra ronda de pegats de seguretat per a solucionar tres fallades de Zero-day activament explotats que afecten a iOS, iPadOS, macOS, watchOS i Safari, amb el que el nombre total de fallades de Zero-day descoberts en el seu programari enguany ascendeix a 16. La llista de vulnerabilitats de seguretat és la següent CVE-2023-41991 – Un problema de validació de certificats en el marc de seguretat que podria permetre a una aplicació maliciosa eludir la validació de signatures.…

20230926 - Actualització correu electrònic UV - SOGo

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el sept 21, 2023

Benvolguts usuaris i usuàries,      Dimarts que ve, 26 de setembre, entre les 16 i les 21 hores actualitzarem la interfície web de correu avançat (sogo.uv.es http://sogo.uv.es/). Durant aquest període de temps, no podreu accedir al correu a través de SOGo.       Us informem que la interfície de correu tradicional, accessible també des de correu.uv.es http://correu.uv.es/, continuarà operativa. L’accés a través de clients de correu tampoc es veurà afectat (Outlook, Thunderbird, Apple mail…).…

20230914 - Limitació de l'accés a protocols i ports des de l'exterior de la UV

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el sept 14, 2023

El Comité de Gestió i Coordinació de la Seguretat de la Informació de la Universitat de València limitarà l'accés a protocols i ports des de l'exterior de la xarxa de la UV, el pròxim 2 d'octubre, per a millorar la seua seguretat. El pròxim 2 d'octubre, el Comité de Gestió i Coordinació de la Seguretat de la Informació de la Universitat de València limitarà a l'exterior de la xarxa de la UV una sèrie de protocols i ports que, per obsolescència i/o seguretat,…

20230913 - Actualització de seguretat en productes Adobe

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el sept 13, 2023

Actualització de seguretat en productes Adobe Data de publicació: 13/09/2023 Nivell de perillositat: CRÍTIC Informem de la publicació d'una actualització de seguretat per part d'Adobe, que corregeix cinc vulnerabilitats relacionades amb diversos dels seus productes. Les fallades reportades podrien permetre l'execució de codi arbitrari de manera remota, comprometent d'aquesta forma la confidencialitat, disponibilitat i integritat dels sistemes vulnerables.…

20230912 - Vulnerabilitat Google Chrome

SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ publicado el sept 12, 2023

INTRODUCCIÓ Google ha publicat una actualització per a posar pegats una vulnerabilitat que està sent explotada actualment. ANÀLISI CVE-2023-4863: Desbordament del búfer de munt en WebP que podria donar lloc a l'execució de codi arbitrari o a un bloqueig. Google és conscient que existeix un exploit per a aquesta vulnerabilitat. RECURSOS AFECTATS: Versions anteriors a 116.0.5845.187 per a Mac i Linux Versions anteriors a 116.0.5845.187/.188 per a Windows. RECOMANACIONS: Actualitzar a 116.0.5845.…