Múltiples vulnerabilitats en productes Apple

INTRODUCCIÓ

S'han identificat múltiples vulnerabilitats en productes Apple. Un atacant remot podria explotar algunes
d'aquestes vulnerabilitats per a provocar denegació de servei, elevació de privilegis, execució remota de
codi, divulgació d'informació sensible, manipulació de dades i elusió de restriccions de seguretat en el
sistema afectat.

ANÀLISI

En el cas de CVE-2023-38606, es tracta d'una fallada del kernel, si s'explota, podria permetre als
atacants "modificar l'estat sensible del kernel" en iPhones i Macs, donant-los potencialment el control
sobre aquests dispositius. "Apple té coneixement d'un informe que indica que aquest problema pot
haver estat explotat activament en versions d'iOS anteriors a iOS 15.7.1", va revelar la companyia en els
avisos de seguretat que descriuen la fallada.

L'amenaça abasta una àmplia gamma de dispositius Apple, incloent macOS Big Sud, Monterey i Ventura,
així com models d'iPhone des de l'iPhone 6s en endavant. També són vulnerables tots els models d'iPad
Pro, iPad Air de 3a generació i posteriors, iPad de 5a generació i posteriors, iPad mini de 5a generació i
posteriors, i l'iPod touch de 7a generació.

En el cas de CVE-2023-37450, és una fallada de seguretat de WebKit, i la seua explotació podria
permetre a actors malintencionats executar codi arbitrari en dispositius vulnerables, fent-se així amb el
control. L'atac es desenvolupa quan un usuari obre involuntàriament una pàgina web maliciosa en un
dispositiu compromès. Els dispositius afectats inclouen iPhone 8 i posteriors, tots els models d'iPad Pro,
iPad Air (3a generació i posteriors), iPad 5a generació i posteriors, i iPad mini 5a generació i posteriors.
El macOS Ventura també figura a la llista de productes vulnerables. Aquesta fallada va ser reportada per
un investigador anònim.

RECURSOS AFECTATS

Versions anteriors a Safari 16.6
Versions anteriors a iOS 16.6 i iPadOS 16.6
Versions anteriors a iOS 15.7.8 i iPadOS 15.7.8
Versions anteriors a macOS Ventura 13.5
Versions anteriors a macOS Monterey 12.6.8
Versions anteriors a macOS Big Sud 11.7.9
Versions anteriors a tvOS 16.6
Versions anteriors a watchOS 9.6
Versions anteriors a watchOS 9.6
Versions anteriors a macOS

SOLUCIÓ
Apliqueu les correccions publicades pel proveïdor:
Safari 16.6
iOS 16.6 i iPadOS 16.6
iOS 15.7.8 i iPadOS 15.7.8
macOS Ventura 13.5
macOS Monterey 12.6.8
macOS Big Sud 11.7.9

tvOS 16.6
watchOS 9.6

Actuallitzacions de seguretat productes Apple:

https://developer.apple.com/news/releases/

Addicionalment:

Referències:

About the security content of iOS 16.6 and iPadOS 16.6
Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks
Apple fixes exploited zero-day in all of its OSes (CVE-2023-38606)

ℹ️ Informacions i avisos:

20240924 - Fibres de connexió amb la GVA

Captura de pantalla 2024-09-23 a las 8.09.21.png Servei / Aplicatiu afectat: Fibres de connexió amb GVA Data i hora d'inici: 2024-09-24 - 15:00h. Data i hora de fí: 2024-09-24 - 16:00h. Registre: 202401262200202401271400

20240909 - Infraestructures de xarxa Burjassot

Captura de pantalla 2024-09-05 a las 11.46.43.png Servei / Aplicatiu afectat: Infraestructures xarxa Burjassot Data i hora d'inici: 2024-09-09 - 07:10h. Data i hora de fí: 2024-09-09 - 08:00h. Registre: 2024090907100800

20240411 - BLOGS UV

Captura de pantalla 2024-04-09 a las 17.56.19.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 BLOGS UV 🕘 De: 11-04-2024 - 08:00h. 🕛 A: 11-04-2024 - 10:00h. 👍🏼 Treballem per a millorar. Gràcies.

20240313 - AULA VIRTUAL UV

kk.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 AULA VIRTUAL UV 🕘 De: 13-03-2024 - 07:00h. 🕛 A: 13-03-2024 - 08:30h. 👍🏼 Treballem per a millorar. Gràcies.

20240312 - nUVol (OwnCloud)

dia12.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 nUVol - (OwnCloud) 🕘 De: 12-03-2024 - 08:O0h. 🕛 A: 12-03-2024 - 10:00h. 👍🏼 Treballem per a millorar. Gràcies.

20240206 - nUVol (Cancel·lada)

Captura de pantalla 2024-02-01 a las 13.01.41.png Captura de pantalla 2024-01-29 a las 9.21.41.png 🔧 INTERVENCIÓ CANCEL·LADA 🖥 nUVol - (OwnCloud) 🕘 De: 06-02-2024 - 08:O0h. 🕛 A: 06-02-2024 - 10:00h. 👍🏼 Treballem per a millorar. Gràcies.

20240129 - SEU ELECTRÒNICA UV

Captura de pantalla 2024-01-23 a las 9.04.37.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 SEU ELECTRÒNICA UV 🕘 De: 29-01-2024 - 08:O0h. 🕛 A: 29-01-2024 - 16:00h. 👍🏼 Treballem per a millorar. Gràcies.

🖥️ 20240126 - Aula Virtual UV

Captura de pantalla 2024-01-19 a las 11.09.45.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 AULA VIRTUAL UV 🕘 De: 26-01-2024 - 22:O0h. 🕛 A: 27-01-2024 - 14:00h. 👍🏼 Treballem per a millorar. Gràcies.

20231220 - Correu Electrònic UV

Captura de pantalla 2023-12-18 a las 13.09.39.png 🔧 INTERVENCIÓ PROGRAMADA 🖥 CORREU ELECTRÒNIC UV 🕘 De: 20-12-2023 - 07:O0h. 🕛 A: 20-12-2023 - 08:00h. 👍🏼 Treballem per a millorar. Gràcies.

⛔️ 20231019 - Phishing suplantant a la Universitat de València

S’ha detectat un atac de phishing als usuaris i usuàries de la Universitat de València. Es tracta d’una campanya de correus electrònics fraudulents que intenta suplantar a la Universitat de València per a aconseguir credencials. Aspecte del correu A continuació teniu l’assumpte i cos del correu electrònic que invita a fer clic en un enllaç i compartir el teu usuari i contrasenya. Assumpte: "Verifique su cuenta de correo electrónico" Cos del correu: “Querido usuario,…

🖥️ 20231020 - INTERVENCIÓ SEU ELECTRÒNICA UV

Els informem que divendres 20 d’octubre a partir de les 17:30 h. està planificada una nova actualització de l'aplicació de registre GEISER per part del Ministeri d'Afers Econòmics i Transformació Digital. Aquesta intervenció afectarà la nostra seu electrònica, per la qual cosa no estarà disponible i, per tant, no es tindrà accés a cap procediment electrònic. Per la informació que se'ns ha transmès des d'aquest Ministeri, es preveu que el diumenge dia 22 finalitzen les tasques a realitzar i,…

20231004 - Correu electrònic (Estudiants)

🔧 INTERVENCIÓ PROGRAMADA 🖥 Correu electrònic (Estudiants) 🕘 De: 04-10-2023 - 07:00h. 🕛 A: 04-10-2023 - 08:00h. 👍🏼 Treballem per a millorar. Gràcies. Per tasques de manteniment, el correu electrònic dels estudiants (@alumni.uv.es) no funcionarà demà de 07:00h. a 08:00h. La resta de dominis de la UV no es veurà afectat. Disculpen les molèsties. Captura de pantalla 2023-10-03 a las 14.51.34.png

20230922 - Apple posa pegats a tres noves fallades de Zero-day: iOS, macOS, Safari i més vulnerables

Apple ha publicat una altra ronda de pegats de seguretat per a solucionar tres fallades de Zero-day activament explotats que afecten a iOS, iPadOS, macOS, watchOS i Safari, amb el que el nombre total de fallades de Zero-day descoberts en el seu programari enguany ascendeix a 16. La llista de vulnerabilitats de seguretat és la següent CVE-2023-41991 – Un problema de validació de certificats en el marc de seguretat que podria permetre a una aplicació maliciosa eludir la validació de signatures.…

20230926 - Actualització correu electrònic UV - SOGo

Benvolguts usuaris i usuàries, Dimarts que ve, 26 de setembre, entre les 16 i les 21 hores actualitzarem la interfície web de correu avançat (sogo.uv.es http://sogo.uv.es/). Durant aquest període de temps, no podreu accedir al correu a través de SOGo. Us informem que la interfície de correu tradicional, accessible també des de correu.uv.es http://correu.uv.es/, continuarà operativa. L’accés a través de clients de correu tampoc es veurà afectat (Outlook, Thunderbird, Apple mail…).…

20230914 - Limitació de l'accés a protocols i ports des de l'exterior de la UV

El Comité de Gestió i Coordinació de la Seguretat de la Informació de la Universitat de València limitarà l'accés a protocols i ports des de l'exterior de la xarxa de la UV, el pròxim 2 d'octubre, per a millorar la seua seguretat. El pròxim 2 d'octubre, el Comité de Gestió i Coordinació de la Seguretat de la Informació de la Universitat de València limitarà a l'exterior de la xarxa de la UV una sèrie de protocols i ports que, per obsolescència i/o seguretat,…

❌ 20230725 - Vulnerabilitats en productes Apple

Múltiples vulnerabilitats en productes Apple