A Apple lança um patch para três iOS 0 dias explorados ativamente encontrado pelo Google

A Apple lançou recentemente o iOS 14.2 com o patch para três vulnerabilidades de dia zero que afetam vários dispositivos IPhone, IPad e iPod.

A empresa disse em um comunicado de segurança na época que estão descrevendo as três falhas; “A Apple está ciente de relatos de que existe um exploit para este problema à solta”.

Três vulnerabilidades de dia zero e suas causas:

  • Vulnerabilidade de execução remota de código (CVE-2020-27930) – dispara o problema de corrupção de memória, que surge ao processar uma fonte criada mal-intencionada pela biblioteca FontParser.
  • Vazamento de kernel (CVE-2020-27950) – causa problemas de inicialização de memória e permite que aplicativos maliciosos entrem na memória do kernel.
  • Falha de escalonamento de privilégios de kernel (CVE-2020-27932) – é um tipo de problema de confusão. Ele possibilita que o malware execute código arbitrário com privilégios de kernel.

Os dispositivos Apple afetados incluem iPhone 6s e posterior, iPod touch 7ª geração, iPad Air 2 e posterior e iPad mini 4 e posterior. A lista também inclui Macs executando versões do MacOS Catalina anteriores a 10.15.7, Ipads com versão iOS anterior ao iOS 14.2, Apple assistir antes do watchOS 7.1, watchOS 6.2.9, watchOS 5.3.9 e Apple TV com versões do TVOS anteriores a tvOS 14.2.

A equipe do Projeto Zero do Google relatou à Apple o problema de segurança. Lá, os pesquisadores também divulgaram ou corrigiram quatro outros dias-zero durante as últimas duas semanas. Dois deles incluem as falhas de dia zero do Chrome CVE-2020-15999 na biblioteca de renderização de texto FreeType e CVE-2020-16009 no mecanismo WebAssembly e JavaScript.

O terceiro foi o CVE-2020-16010 causado pelo estouro do buffer de heap na IU do Android. Foi abordado com o Chrome para Android 86.0.4240.185, lançado na segunda-feira.

O Projeto zero também revelou uma vulnerabilidade de elevação de privilégios (EoP). O patch para este dia zero do Windows deve ser fornecido pela Microsoft com o patch deste mês.