Apple lanzó recientemente correcciones de seguridad para iOS, iPadOS, watchos, y macOS, abordar las vulnerabilidades informadas por Project Zero de Google. Según los avisos de seguridad de la empresa, Tres de las fallas fueron reportadas por Project Zero y están siendo explotadas en la naturaleza..
Estos defectos son un error de ejecución de código remoto (CVE-2020-27930), una fuga de memoria del kernel (CVE-2020-27950), y una escalada de privilegios del kernel (CVE-2020-27932). Los propietarios de dispositivos Apple deben actualizar su software lo antes posible. También es digno de mención que "Apple no divulga, discutir, o confirmar problemas de seguridad hasta que se haya realizado una investigación y los parches o versiones estén disponibles de forma general ".
CVE-2020-27930
Esta vulnerabilidad crítica está presente en macOS hasta la versión 10.15.7. La falla afecta a un procesamiento desconocido del componente FontParser.. Según Vulnerability Database, su manipulación puede conducir a la corrupción de la memoria. Además, la falla es trivial de explotar y puede explotarse de forma remota.
CVE-2020-27950
Esta es una vulnerabilidad problemática del kernel en Apple iOS y iPadOS hasta 14.1, que puede conducir a la divulgación de información. Lo que se sabe hasta ahora es que la explotación de la falla parece fácil, y debería suceder localmente. Se requiere autenticación única para el ataque. La vulnerabilidad también puede ayudar a una aplicación maliciosa a ejecutar código arbitrario con derechos de kernel..
CVE-2020-27932
Esta vulnerabilidad del kernel parece afectar a Apple iOS y iPadOS hasta 14.1, así como Apple watchOS hasta 5.3.8/6.2.8/7.0.3. Poco se sabe sobre la falla., y su impacto aún se desconoce.
Sin embargo, Los investigadores de seguridad advierten que estos defectos se pueden encadenar para secuestrar los dispositivos de los usuarios.. Se puede engañar a los usuarios para que realicen una acción específica, como abrir un documento, mensaje, o página web que carga una fuente maliciosa. Esto podría conducir a la ejecución de código con privilegios del kernel..
Se han lanzado las actualizaciones correspondientes en iOS 14.2 y iPadOS 14.2, watchos 7.1, Mac OS 10.15.7, y TVOS 14.2. La empresa también emitió iOS 12.4.9 para modelos de iPhone obsoletos que ya no son compatibles, volviendo al iPhone 5. Para más información, puedes leer Boletines oficiales de Apple.
En abril de este año, El investigador de seguridad Bhavuk Jain informó una vulnerabilidad de día cero en la función Iniciar sesión con Apple que afectó a las aplicaciones de terceros, usarlo sin implementar sus propias medidas de seguridad.
Según Jain, el día cero de Apple "podría haber resultado en una toma de control total de las cuentas de usuario en esa aplicación de terceros, independientemente de que la víctima tenga un ID de Apple válido o no".
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: