viernes, 13 de noviembre de 2020

Descubiertas tres vulnerabilidades Zero-Day en dispositivos Apple

Zero-Day Apple

      En una actualización lanzada por Apple la semana pasada se parcheaban tres vulnerabilidades Zero-Day las cuales han sido descubiertas siendo utilizadas para poder atacar dispositivos iOS.

Se desconoce si estas vulnerabilidades Zero-Day han sido utilizadas por los ciberdelincuentes para atacar a objetivos seleccionados de forma individual o bien han sido de forma masiva, es recomendable actualizar los dispositivos a la nueva versión iOS 14.2, versión la cual han sido aplicados los parches de seguridad. 

El grupo Google Project Zero fue quien descubrió estas vulnerabilidades e informo a Apple de la existencia de estas. Por otra parte, el líder del equipo, Ben Hawkes ha informado de que las vulnerabilidades descubiertas son: 

  • CVE-2020-27930: Vulnerabilidad que permite a los atacantes ejecutar de forma remota código en dispositivos iOS, esto es posible debido a un fallo de ejecución remota de código en el componente FontParser.
  • CVE-2020-27932: Es una vulnerabilidad que permite a los atacantes ejecutar código malicioso con privilegios de kernel, el fallo se encuentra en el kernel de iOS el cual permite una escalada de privilegios.
  • CVE-2020-27950: Debido a una perdida de memoria en el kernel de iOS los atacantes pueden recuperar contenido de la memoria del kernel de un dispositivo con iOS.

 

Los investigadores creen que estas vulnerabilidades están siendo utilizadas en conjunto, como parte de una cadena de exploits, cosa que permite a los atacantes poner en peligro los dispositivos iPhone de forma completamente remota.

Shane Huntley el director del grupo de análisis de amenazas de Google ha reconocido que los Zero-Days que han descubierto en dispositivos Apple se encuentran relacionados con otros tres Zero-Days que fueron reportados días antes del descubrimiento de estos en Google Chrome y Windows.

Además de lanzar una actualización para los iPhones de última generación, Apple ha corregido estos errores de seguridad en iPadOS 14.2, en watchOS con las versiones 5.3.8, 6.2.9 y 7.1, y también han lanzado una actualización para iPhones de generaciones anteriores, la versión de iOS 12.4.9.


No hay comentarios:

Publicar un comentario