← volver
CVE-2023-28205

CVE-2023-28205

CVSS 8.8 HIGHEPSS 27.1%● KEVCWE-416
En resumen

Una vulnerabilidad de use-after-free (uso de memoria liberada) en Safari y dispositivos Apple permite a atacantes ejecutar código arbitrario mediante contenido web malicioso. Esta falla fue explotada activamente en ataques reales.

Detalle técnico

Vulnerabilidad CWE-416 (use-after-free) en gestión de memoria afecta Safari, iOS y macOS. Vector de ataque es basado en red, mediante contenido web maliciosamente diseñado; no requiere interacción más allá de acceder a una página maliciosa. Explotación exitosa resulta en ejecución arbitraria de código con los privilegios del proceso Safari o aplicaciones que utilicen el componente vulnerable.

Resumen generado y traducido por IA a partir de la descripción oficial.
A use after free issue was addressed with improved memory management. This issue is fixed in Safari 16.4.1, iOS 15.7.5 and iPadOS 15.7.5, iOS 16.4.1 and iPadOS 16.4.1, macOS Ventura 13.3.1. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
Apple · iOS and iPadOSApple · macOSApple · Safari
PoCs públicas encontradas2
githubgithub.com/ntfargo/uaf-2023-2820518githubgithub.com/seregonwar/uaf-2023-282058
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://support.apple.com/en-us/HT213720https://support.apple.com/en-us/HT213721https://support.apple.com/en-us/HT213722https://support.apple.com/en-us/HT213723https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-28205