Apple abordó recientemente tres vulnerabilidades de día cero en iOS, iPadOS.
CVE-2021-1782, CVE-2021-1870, y CVE-2021-1871 podrían permitir a los actores de amenazas realizar ataques de escalada de privilegios y ejecución remota de código. La compañía dice que las vulnerabilidades probablemente fueron explotadas en la naturaleza., sin especificar los ataques’ grado.
Más sobre los tres días cero de Apple
Las tres vulnerabilidades fueron reportadas por un investigador anónimo. Veamos qué sabemos sobre ellos hasta ahora.
CVE-2021-1782
Cabe destacar que esta vulnerabilidad afecta al kernel en los siguientes dispositivos Apple: iPhone 6s y posterior, Ipad aire 2 y después, Ipad mini 4 y después, y el iPod touch (7a generación). Descripción de Apple dice que “se solucionó una condición de carrera mejorando el bloqueo.”
Si se explota, este día cero podría permitir que una aplicación maliciosa eleve privilegios en un dispositivo vulnerable, por lo que se recomienda parchear.
CVE-2021-1870 y CVE-2021-1871
Estos dos errores representan un problema de lógica que se solucionó mejorando las restricciones.. Los afectados son iPhone 6s y posteriores, Ipad aire 2 y después, Ipad mini 4 y después, y el iPod touch (7a generación).
Estos errores residían en el motor del navegador WebKit y podían permitir a un atacante ejecutar código arbitrario dentro del navegador Safari..
Los usuarios de Apple deben tomarse el tiempo para revisar sus dispositivos.’ seguridad y ver si se aplican los parches.
El año pasado, investigadores de seguridad revelados una falla de seguridad en Safari para iOS y Mac, que ocurrió debido a que Safari conservaba la barra de direcciones de la URL cuando se solicitaba a través de un puerto arbitrario.”
El problema se debió al uso de código JavaScript ejecutable malicioso en un sitio web aleatorio.. El código hizo que el navegador actualizara la dirección mientras la página se cargaba a otra dirección elegida por los atacantes..
Los actores de amenazas podrían organizar una página web maliciosa y engañar a la víctima para que abra el enlace enviado en un correo electrónico o mensaje de texto falsos. Esta acción llevaría a la víctima potencial a un malware o robaría sus credenciales..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: