Apple parchea tres fallas de día cero activamente explotadas en iOS


Las vulnerabilidades, de las que se abusa de los ataques dirigidos, afectan a una larga lista de dispositivos.

Solo dias despues Google reveló un mistake activamente explotado en Home windows y descubrió y solucionó dos errores de día cero en su navegador website Chrome, Apple ha lanzado parches propios para corregir tres vulnerabilidades de día cero bajo ataques activos. El trío de fallas, que afecta a una amplia gama de productos de Apple, también fue descubierto por el equipo de búsqueda de errores de la compañía propiedad de Alphabet.

«Apple está al tanto de los informes de que existe un exploit para este problema en la naturaleza», se lee en el boletín de seguridad describiendo cada uno de los tres defectos. Se están parcheando junto con otros errores de seguridad como parte del lanzamiento de iOS y iPadOS 14.2.

La lista de dispositivos afectados por los días cero incluye Apple iphone 6s y posteriores, iPod contact de séptima generación, iPad Air 2 y posteriores, y iPad mini 4 y posteriores.

El gigante tecnológico de Cupertino también emitió actualizaciones de seguridad para las vulnerabilidades en una variedad de sus otros productos, incluido el Apple Look at con watchOS 5.3.9, 6.2.9y 7.1, una actualización complementaria para sus productos Mac con macOS Catalina 10.15.7, así como una solución para dispositivos antiguos que se ejecutan iOS 12.4.9.

Ben Hawkes, el líder técnico del Job Zero de Google, dijo lo siguiente en Twitter:

Mientras tanto, Shane Huntley del Grupo de análisis de amenazas de Google tuiteó que la explotación de las vulnerabilidades está dirigida y parece estar relacionada con los días cero que se han descubierto durante el último mes.

La primera vulnerabilidad, ubicada en FontParser y rastreada como CVE-2020-27930, es una falla de ejecución remota de código (RCE) que podría desencadenarse por el procesamiento de una fuente creada con fines malintencionados que podría permitir a un atacante lanzar un ataque de forma remota.

Mientras tanto, el segundo defecto, indexado como CVE-2020-27950, reside en el kernel y se explain como una falla de pérdida de memoria del kernel. Un atacante podría aprovecharlo creando una aplicación maliciosa para revelar la memoria del kernel de acuerdo a VULDB, la explotación debe ocurrir localmente y requiere una única autenticación.

El tercer mistake de día cero, registrado como CVE-2020-27932, es una vulnerabilidad de escalamiento de privilegios del kernel. «Una aplicación maliciosa puede ejecutar código arbitrario con privilegios del kernel», advirtió Apple.

Equipos de respuesta a emergencias informáticas (CERT) de Hong Kong y Singapur emitió alertas instando a los usuarios de los dispositivos Apple afectados a aplicar las actualizaciones de inmediato. Si no tiene habilitadas las actualizaciones automáticas, puede actualizar su Iphone y iPad manualmente yendo al menú Configuración, luego tocando General y yendo a la sección Actualización de computer software.





Enlace a la noticia primary