Apple lanza un parche para tres días 0 de iOS explotados activamente encontrados por Google
Apple ha lanzado recientemente iOS 14.2 con el parche para tres vulnerabilidades de día cero que afectan a varios dispositivos iPhone, iPad y iPod.
La compañía dijo en un aviso de seguridad en ese momento que están describiendo las tres fallas; “Apple está al tanto de los informes de que existe un exploit para este problema en la naturaleza”.
Tres vulnerabilidades de día cero y su causa:
- Vulnerabilidad de ejecución remota de código (CVE-2020-27930): desencadena un problema de corrupción de la memoria, surge al procesar una fuente maliciosa creada por la biblioteca FontParser.
- Fuga de kernel (CVE-2020-27950): causa problemas de inicio de memoria y permite que aplicaciones maliciosas ingresen a la memoria del kernel.
- Defecto de escalamiento de privilegios del kernel (CVE-2020-27932): es un tipo de problema de confusión. Hace posible que el malware ejecute código arbitrario con privilegios del kernel.
Los dispositivos Apple afectados incluyen iPhone 6s y posteriores, iPod touch de séptima generación, iPad Air 2 y posteriores, y iPad mini 4 y posteriores. La lista también incluye Mac con versiones de MacOS Catalina anteriores a 10.15.7, Ipads con versión de iOS anterior a iOS 14.2, Apple Watch anterior a watchOS 7.1, watchOS 6.2.9, watchOS 5.3.9 y Apple TV con versiones de TVOS anteriores a tvOS 14.2.
El equipo de búsqueda de Project Zero de Google informó a Apple sobre el problema de seguridad. Allí, los investigadores también revelaron o parchearon otros cuatro días cero durante las últimas dos semanas. Dos de ellos incluyen los defectos de días cero de Chrome CVE-2020-15999 en la biblioteca de representación de texto FreeType y CVE-2020-16009 en el motor WebAssembly y JavaScript.
El tercero fue CVE-2020-16010 causado cuando el búfer de pila se desbordaba en la interfaz de usuario de Android. Se solucionó con Chrome para Android 86.0.4240.185, lanzado el lunes.
El proyecto cero también reveló una vulnerabilidad de elevación de privilegios (EoP). Microsoft debería proporcionar el parche para este día cero de Windows con el parche de este mes.