A Apple lançou recentemente correções de segurança para iOS, iPadOS, watchOS, e macOS, abordando vulnerabilidades relatadas pelo Projeto Zero do Google. De acordo com os avisos de segurança da empresa, três das falhas foram relatadas pelo Projeto Zero e estão sendo exploradas na natureza.
Essas falhas são um bug de execução remota de código (CVE-2020-27930), um vazamento de memória do kernel (CVE-2020-27950), e um escalonamento de privilégios de kernel (CVE-2020-27932). Proprietários de dispositivos Apple devem atualizar seus softwares o mais rápido possível. Vale ressaltar também que “a Apple não divulga, discutir, ou confirmar os problemas de segurança até que uma investigação ocorra e os patches ou lançamentos estejam geralmente disponíveis. ”
CVE-2020-27930
Esta vulnerabilidade crítica está presente no macOS até a versão 10.15.7. A falha afeta um processamento desconhecido do componente FontParser. De acordo com o banco de dados de vulnerabilidade, sua manipulação pode levar à corrupção de memória. além disso, a falha é trivial de explorar e pode ser explorada remotamente.
CVE-2020-27950
Esta é uma vulnerabilidade de kernel problemática no Apple iOS e iPadOS até 14.1, o que pode levar à divulgação de informações. O que se sabe até agora é que a exploração da falha parece ser fácil, e isso deve acontecer localmente. A autenticação única é necessária para o ataque. A vulnerabilidade também pode ajudar um aplicativo malicioso a executar código arbitrário com direitos de kernel.
CVE-2020-27932
Esta vulnerabilidade do kernel parece afetar Apple iOS e iPadOS até 14.1, bem como Apple watchOS até 5.3.8/6.2.8/7.0.3. Pouco se sabe sobre a falha, e seu impacto ainda é desconhecido.
Contudo, pesquisadores de segurança alertam que essas falhas podem ser encadeadas para sequestrar os dispositivos dos usuários. Os usuários podem ser enganados para realizar uma ação específica, como abrir um documento, mensagem, ou página da web que carrega uma fonte maliciosa. Isso pode levar à execução de código com privilégios de kernel.
As atualizações correspondentes foram lançadas no iOS 14.2 e iPadOS 14.2, watchOS 7.1, Mac OS 10.15.7, e tvOS 14.2. A empresa também emitiu iOS 12.4.9 para modelos de iPhone desatualizados que não são mais suportados, voltando para o iPhone 5. Para maiores informações, você pode ler Boletins oficiais da Apple.
Em abril deste ano, o pesquisador de segurança Bhavuk Jain relatou uma vulnerabilidade de dia zero no recurso Sign in with Apple que afetou aplicativos de terceiros, usá-lo sem implementar suas próprias medidas de segurança.
De acordo com Jain, o dia zero da Apple “poderia ter resultado em uma tomada de controle total das contas de usuário naquele aplicativo de terceiros, independentemente de a vítima ter um ID Apple válido ou não”.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: