Apple liberó una actualización urgente para iOS y iPadOS que arregla la vulnerabilidad CVE-2022-22620. Recomiendan actualizar los dispositivos lo antes posible, ya que la empresa tiene motivos para creer que la vulnerabilidad ya está siendo explotada activamente por actores desconocidos.
Por qué la vulnerabilidad CVE-2022-22620 es peligrosa
Como es normal, los expertos de Apple no revelan los detalles de la vulnerabilidad hasta que la investigación está completa, y la mayoría de los usuarios hayan instalado los parches. De momento, solo dijeron que la vulnerabilidad pertenece a la clase Use-After-Free (UAF), por lo tanto, está relacionada con el uso incorrecto de la memoria dinámica de las aplicaciones. Su explotación permite que el atacante cree contenido web malicioso, cuyo procesamiento podría resultar en la ejecución de código arbitrario en el dispositivo de la víctima.
Para ponerlo de manera simple, el escenario de ataque más probable es una infección de un dispositivo iPhone o iPad después de visitar una página web maliciosa.
Qué dispositivos y aplicaciones son vulnerables a la explotación de CVE-2022-22620
A juzgar por la descripción del error, la vulnerabilidad se encontró en el motor WebKit que se utiliza en muchas aplicaciones para mac OS, iOS y Linux. En particular, todos los navegadores para iOS y iPadOS se basan en este motor de código abierto, es decir, no solo Safari, sino también Google Chrome, Mozilla Firefox y cualquier otro; por lo que incluso si no utilizas Safari, esta vulnerabilidad te afecta directamente.
Apple liberó actualizaciones para iPhone 6s y versiones posteriores; todos los modelos de iPad Pro, iPad Air versión 2 y más recientes, iPad a partir de la 5ta generación, iPad mini a partir de la 4ta generación, y iPod Touch a partir de la 7a generación.
Cómo protegerse
Los parches que Apple liberó el 10 de febrero cambian los mecanismos de gestión de la memoria, lo que evita la explotación de CVE-2022-22620. De manera que para proteger tu dispositivo, debería ser suficiente instalar las actualizaciones iOS 15.3.1 y iPadOS 15.3.1. Tu dispositivo debe estar conectado a una red de Wi-Fi para instalar el parche.
Si tu dispositivo todavía no muestra la notificación de que hay una actualización disponible para instalación, puedes forzar el sistema para que se actualice un poco más rápido: dirígete a los ajustes del sistema (Configuración → General → Actualización de software) y verifica la disponibilidad de las actualizaciones de software.
A fin de recibir alertas sobre las ciberamenazas más recientes directamente en tus dispositivos y aplicaciones, te recomendamos utilizar Kaspersky Security Cloud que está disponible para los sistemas operativos Windows, Mac OS, Android y iOS. Cuando se descubre una vulnerabilidad nueva en el software que utilizas o una filtración de datos en el sitio web que visitas, recibirás una notificación con consejos sobre cómo protegerte.