Apple ha publicado actualizaciones provisionales de iOS/iPadOS 16.5.1, macOS Ventura 13.4.1 y watchOS 9.5.2, que han cerrado una serie de vulnerabilidades de día cero. No contienen novedades, pero Apple recomienda a todos los usuarios que las instalen.
Como estas vulnerabilidades también están presentes en versiones anteriores del sistema, también han recibido actualizaciones: iOS 15.7.7, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, watchOS 8.8.1 y iPadOS 15.7.7 builds.
Una de las vulnerabilidades cerradas, denominada CVE-2023-32434, fue descubierta por Kaspersky Lab. Permite ejecutar código arbitrario con derechos de acceso al kernel en el iPhone 6s y modelos más recientes, así como en la mayoría de las tabletas, incluidos todos los iPad Pro y los iPad Air 2, iPad mini 4, iPad 5 y más recientes.
Otras dos vulnerabilidades de WebKit se cerraron en paralelo. Permiten ejecutar código arbitrario tras procesar determinados contenidos web. Así, la vulnerabilidad CVE-2023-32435 descubierta por el personal de Kaspersky funciona en el iPhone 7 y dispositivos más antiguos, mientras que la CVE-2023-32439 de investigadores anónimos puede funcionar también en los modelos actuales.
Apple también ha confirmado que los informes indican que estas vulnerabilidades pueden haber sido explotadas activamente en iOS 15.7 y versiones anteriores, pero no ha hecho comentarios sobre la exactitud de esta información.
Paralelamente, la actualización iOS 16.5.1 corrige un error por el que fallaba la carga a través de Lightning/USB 3 para conectar la cámara.
