Apple ha recentemente rilasciato correzioni di sicurezza per iOS, iPadOS, watchos, e macOS, affrontare le vulnerabilità segnalate da Project Zero di Google. Secondo gli avvisi di sicurezza dell'azienda, tre dei difetti sono stati segnalati da Project Zero e vengono sfruttati in natura.
Questi difetti sono un bug di esecuzione di codice in modalità remota (CVE-2020-27930), una perdita di memoria del kernel (CVE-2020-27950), e un'escalation dei privilegi del kernel (CVE-2020-27932). I proprietari di dispositivi Apple dovrebbero aggiornare il loro software il prima possibile. È anche degno di nota il fatto che "Apple non divulga, discutere, o confermare i problemi di sicurezza fino a quando non si è svolta un'indagine e le patch o le versioni sono generalmente disponibili. "
CVE-2020-27930
Questa vulnerabilità critica è presente in macOS fino alla versione 10.15.7. Il difetto riguarda un'elaborazione sconosciuta del componente FontParser. Secondo Vulnerability Database, la sua manipolazione può portare alla corruzione della memoria. Inoltre, la falla è banale da sfruttare e può essere sfruttata da remoto.
CVE-2020-27950
Questa è una vulnerabilità problematica del kernel in Apple iOS e iPadOS fino a 14.1, che può portare alla divulgazione di informazioni. Ciò che si sa finora è che lo sfruttamento del difetto sembra essere facile, e dovrebbe accadere localmente. Per l'attacco è richiesta una singola autenticazione. La vulnerabilità può anche aiutare un'app dannosa a eseguire codice arbitrario con diritti del kernel.
CVE-2020-27932
Questa vulnerabilità del kernel sembra interessare Apple iOS e iPadOS fino a 14.1, così come Apple watchOS fino a 5.3.8/6.2.8/7.0.3. Si sa poco del difetto, e il suo impatto è ancora sconosciuto.
Tuttavia, i ricercatori di sicurezza avvertono che questi difetti possono essere concatenati insieme per dirottare i dispositivi degli utenti. Gli utenti possono essere indotti a eseguire un'azione specifica, come aprire un documento, messaggio, o una pagina web che carica un carattere dannoso. Ciò potrebbe quindi portare all'esecuzione di codice con i privilegi del kernel.
Gli aggiornamenti corrispondenti sono stati rilasciati in iOS 14.2 e iPadOS 14.2, watchos 7.1, Mac OS 10.15.7, e TVOS 14.2. La società ha anche rilasciato iOS 12.4.9 per i modelli di iPhone obsoleti che non sono più supportati, tornando su iPhone 5. Per maggiori informazioni, Puoi leggere Bollettini ufficiali di Apple.
Nel mese di aprile di quest'anno, ha riferito il ricercatore di sicurezza Bhavuk Jain una vulnerabilità zero-day nella funzione Accedi con Apple che ha interessato le applicazioni di terze parti, utilizzarlo senza implementare le proprie misure di sicurezza.
Secondo Jain, lo zero-day di Apple "avrebbe potuto portare a una piena acquisizione degli account degli utenti su quell'applicazione di terze parti, indipendentemente dal fatto che una vittima avesse o meno un ID Apple valido".
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: