Apple lanzó el martes su primera ronda de Mejoras de seguridad en segundo plano para abordar una falla de seguridad en WebKit que afecta a iOS, iPadOS y macOS.

La vulnerabilidad, rastreada como CVE-2026-20643 (Puntuación CVSS: N/A), se ha descrito como un problema de origen cruzado en la API de navegación de WebKit que podría aprovecharse para eludir la política del mismo origen al procesar contenido web creado con fines malintencionados.

La falla afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Se solucionó con una validación de entrada mejorada en iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Al investigador de seguridad Thomas Espach se le atribuye el mérito de descubrir e informar la deficiencia.

Manzana notas que las mejoras de seguridad en segundo plano están destinadas a ofrecer versiones de seguridad ligeras para componentes como el navegador Safari, la pila de marco WebKit y otras bibliotecas del sistema a través de parches de seguridad más pequeños y continuos en lugar de publicarlos como parte de actualizaciones de software más grandes.

La función es compatible y está habilitada para versiones futuras a partir de iOS 26.1, iPadOS 26.1 y macOS 26. En los casos en que se descubran problemas de compatibilidad, las mejoras pueden eliminarse temporalmente y luego mejorarse en una actualización de software posterior, agrega Apple.

Los usuarios pueden controlar las mejoras de seguridad en segundo plano a través del menú Privacidad y seguridad en la aplicación Configuración. Para garantizar que se instalen automáticamente, se recomienda mantener activada la opción «Instalar automáticamente».

Vale la pena señalar que si los usuarios optan por desactivar esta configuración, tendrán que esperar hasta que las mejoras se incluyan en la próxima actualización de software. Visto desde esa perspectiva, la función es análoga a Rapid Security Response, que introducido en iOS 16 como una forma de instalar actualizaciones de seguridad menores.

«Si se aplicó una mejora de seguridad en segundo plano y elige eliminarla, su dispositivo vuelve a la actualización de software básica (por ejemplo, iOS 26.3) sin aplicar mejoras de seguridad en segundo plano», señaló Apple en un documento de ayuda.

El desarrollo se produce poco más de un mes después de que Apple publicara correcciones para un día cero explotado activamente que afecta a iOS, iPadOS, macOS Tahoe, tvOS, watchOS y visionOS (CVE-2026-20700, puntuación CVSS: 7,8) y que podría provocar la ejecución de código arbitrario.

La semana pasada, el fabricante de iPhone también amplió los parches para cuatro fallos de seguridad (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 y CVE-2024-23222) que se utilizaron como parte del kit de exploits Coruña.

Apple respaldó el miércoles correcciones para una falla de seguridad en iOS, iPadOS y macOS Sonoma a versiones anteriores después de que se descubrió que se usaba como parte del kit de exploits Coruna.

La vulnerabilidad, rastreada como CVE-2023-43010se relaciona con una vulnerabilidad no especificada en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. El fabricante del iPhone dijo que el problema se solucionó mejorando el manejo.

«Esta solución asociada con el exploit Coruna se envió en iOS 17.2 el 11 de diciembre de 2023», dijo Apple en un aviso. «Esta actualización trae esa solución a los dispositivos que no pueden actualizarse a la última versión de iOS».

Apple lanzó originalmente las correcciones para CVE-2023-43010 en las siguientes versiones:

La última ronda de correcciones lo lleva a versiones anteriores de iOS y iPadOS.

• iOS 15.8.7 y iPadOS 15.8.7 – iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (primera generación), iPad Air 2, iPad mini (cuarta generación) y iPod touch (séptima generación)
• iOS 16.7.15 y iPadOS 16.7.15 – iPhone 8, iPhone 8 Plus, iPhone X, iPad de 5.ª generación, iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas de 1.ª generación

Es más, iOS 15.8.7 y iPadOS 15.8.7 incorporan parches para tres vulnerabilidades más asociadas con el exploit Coruna:

• CVE-2023-43000 (Solucionado originalmente en iOS 16.6, lanzado el 24 de julio de 2023): un problema de uso después de la liberación en WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados.
• CVE-2023-41974 (Solucionado originalmente en iOS 17, lanzado el 18 de septiembre de 2023): un problema de uso después de la liberación en el kernel que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel.
• CVE-2024-23222 (Solucionado originalmente en iOS 17.3 lanzado el 22 de enero de 2024): un problema de confusión de tipos en WebKit que podría provocar la ejecución de código arbitrario al procesar contenido web creado con fines malintencionados.

Los detalles de Coruña surgieron a principios de este mes después de que Google dijera que el kit de exploits presenta 23 exploits en cinco cadenas diseñadas para apuntar a modelos de iPhone que ejecutan versiones de iOS entre 13.0 y 17.2.1. iVerify, que está rastreando el marco de malware que utiliza el kit de explotación bajo el nombre CryptoWaters, dijo que tiene similitudes con marcos anteriores desarrollados por actores de amenazas afiliados al gobierno de EE. UU.

El desarrollo se produce en medio de informes de que Coruña probablemente fue diseñado por el contratista militar estadounidense L3Harris y que Peter Williams, un ex gerente general de la compañía que fue sentenciado a más de siete años de prisión por vender varios exploits a cambio de dinero, pudo haberlo pasado al corredor de exploits ruso Operation Zero.

Un aspecto interesante de Coruña es el uso de dos exploits (CVE-2023-32434 y CVE-2023-38606) que se utilizaron como armas de día cero en una campaña denominada Operación Triangulación dirigida a usuarios en Rusia en 2023. Kaspersky dijo a The Hacker News que es posible que cualquier equipo suficientemente capacitado cree sus propios exploits, dado que ambos fallos tienen implementaciones disponibles públicamente.

«A pesar de nuestra extensa investigación, no podemos atribuir la Operación Triangulación a ningún grupo APT conocido o empresa de desarrollo de exploits», dijo Boris Larin, investigador principal de seguridad de Kaspersky GReAT, a The Hacker News en un correo electrónico.

«Para ser precisos: ni Google ni iVerify en su investigación publicada afirman que Coruña reutiliza el código de Triangulación. Lo que identifican es que dos exploits en Coruña – Photon y Gallium – apuntan a las mismas vulnerabilidades. Esa es una distinción importante. En nuestra opinión, la atribución no puede basarse únicamente en el hecho de la explotación de estas vulnerabilidades».