Una vulnerabilidad de día cero en iOS, iPadOS, y macOS se acaba de arreglar con una actualización de seguridad urgente. Apple dijo que el día cero pudo haber sido explotado.
CVE-2021-30807 Explotación de día cero en la naturaleza
Conocido como CVE-2021-30807, la falla es un problema de corrupción de memoria ubicado en el componente IOMobileFrameBuffer, una extensión del kernel que administra el framebuffer de pantalla que existe tanto en iOS como en macOS. Poco dicho, se podría abusar del error de día cero para ejecutar código arbitrario con privilegios del kernel. El problema se ha solucionado según la plataforma de dispositivo específica..
Apple lanzó tres actualizaciones, iOS 14.7., iPadOS 14.7.1 y macOS Big Sur 11.5.1 para parchear la vulnerabilidad en cada una de las plataformas el lunes.
De acuerdo a Base de datos de vulnerabilidades, "Se encontró una vulnerabilidad en Apple iOS y iPadOS". Calificado como crítico, la falla podría causar daños en la memoria, y en términos de impacto, podría afectar la confidencialidad, integridad, y la disponibilidad.
Como resultado de la falla, una aplicación puede ejecutar código arbitrario con privilegios del kernel. Apple no ha publicado ninguna descripción técnica detallada, para limitar la posibilidad de armamento del día cero. Además, Hay indicios de que CVE-2021-30807 puede haber sido utilizado en ataques en la naturaleza.. Este es también el decimotercer problema zero-fay que Apple ha solucionado hasta ahora en 2021.
Los días cero anteriores incluyen CVE-2021-1782, CVE-2021-1870, y CVE-2021-1871 en iOS y iPadOS; CVE-2021-30657 en macOS que fue explotado por el malware Shlayer; CVE-2021-30737, CVE-2021-30761, CVE-2021-30762 en iOS.
Al parecer,, hay un código de explotación de prueba de concepto disponible en la naturaleza, por lo que es muy recomendable aplicar el parche urgente contra CVE-2021-30807.