Apple implementó correcciones para iOS, iPadOS, macOS y watchOS para abordar tres defectos de día cero y lanzó parches adicionales para un cuarto error que el fabricante del iPhone dijo que podría haber sido explotado en la naturaleza.
Las vulnerabilidades afectan a WebKit, el motor del navegador web que alimenta el navegador Safari de Apple y es un componente integrado en los productos de varias empresas. Los cuatro defectos se describen de la siguiente manera:
CVE-2021-30666 : la vulnerabilidad existe debido a un error de límite en WebKit. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la abra, desencadenar daños en la memoria y ejecutar código arbitrario en el sistema de destino
CVE-2021-30665 - el problema existe debido a un error de límite en WebKit. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la abra, desencadenar daños en la memoria y ejecutar código arbitrario en el sistema de destino.
CVE-2021-30663 : la vulnerabilidad existe debido al desbordamiento de enteros en WebKit. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el desbordamiento de enteros y ejecutar código arbitrario en el sistema de destino.
CVE-2021-30661 : la vulnerabilidad existe debido a un error de uso después de la liberación al procesar contenido web dentro del componente Almacenamiento webKit. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar un error de uso después de la libertad y ejecutar código arbitrario en el sistema.
La compañía dijo que está al tanto de los informes de que estos defectos "pueden haber sido explotados activamente", pero no proporcionó más información sobre la naturaleza de los ataques, quiénes eran los objetivos o quién podría haber estado detrás de los ataques.
Apple releases security updates to fix WebKit zero-day flaws (cybersecurity-help.cz)
