Apple rilascia una patch per tre iOS 0 giorni sfruttati attivamente trovati da Google
Apple ha recentemente rilasciato iOS 14.2 con la patch per tre vulnerabilità zero day che interessano diversi dispositivi IPhone, IPad e iPod.
La società ha detto in un avviso di sicurezza al momento di descrivere i tre difetti; “Apple è a conoscenza di rapporti secondo cui esiste un exploit per questo problema”.
Tre vulnerabilità Zero day e la loro causa:
- Vulnerabilità legata all’esecuzione di codice in modalità remota (CVE-2020-27930): innesca un problema di danneggiamento della memoria, che si verifica durante l’elaborazione di un font dannoso dalla libreria FontParser.
- Perdita del kernel (CVE-2020-27950): causa problemi di avvio della memoria e consente alle applicazioni dannose di entrare nella memoria del kernel.
- Difetto di escalation dei privilegi del kernel (CVE-2020-27932): è un tipo di problema di confusione. Rende possibile al malware eseguire codice arbitrario con privilegi del kernel.
I dispositivi Apple interessati includono iPhone 6s e successivi, iPod touch di settima generazione, iPad Air 2 e successivi e iPad mini 4 e successivi. L’elenco include anche Mac con versioni di MacOS Catalina precedenti alla 10.15.7, iPad con versione iOS precedente a iOS 14.2, Apple Watch prima di watchOS 7.1, watchOS 6.2.9, watchOS 5.3.9 e Apple TV con versioni TVOS precedenti a tvOS 14.2.
Il team di ricerca oday di Project Zero Google ha segnalato ad Apple il problema di sicurezza. Là i ricercatori hanno anche divulgato o riparato altri quattro giorni zero durante le ultime due settimane. Due di questi includono i difetti zero-days di Chrome CVE-2020-15999 nella libreria di rendering del testo FreeType e CVE-2020-16009 nel motore WebAssembly e JavaScript.
Il terzo era CVE-2020-16010 causato dall’overflow del buffer di heap nell’interfaccia utente di Android. È stato risolto con Chrome per Android 86.0.4240.185, rilasciato lunedì.
Il progetto zero ha anche rivelato una vulnerabilità di elevazione dei privilegi (EoP). La patch per questo zero day di Windows dovrebbe essere fornita da Microsoft con la patch di questo mese.