20 de abril de 2021

Detectadas 3 vulnerabilidades zero-day en iOS

El jueves, Apple publicó múltiples actualizaciones de seguridad para parchear tres vulnerabilidades de zero-day que están siendo explotadas de forma activa.

Publicadas como parte de sus actualizaciones de iOS, iPadOS, macOS y watchOS, los fallos residen en el componente FontParser y el kernel, permitiendo a los atacantes ejecutar de forma remota código arbitrario y programas maliciosos con privilegios a nivel del kernel.

Los zero-days fueron descubiertos y reportados a Apple por el equipo de seguridad del Proyecto Cero de Google.

«Apple está al tanto de que existe un exploit para este problema», dijo el fabricante de iPhone de los tres zero-day sin dar ningún detalle adicional para permitir que una gran mayoría de los usuarios instalen las actualizaciones.

La lista de dispositivos afectados incluye el iPhone 6 y posteriores, el iPod touch de 7ª generación, el iPad Air 2 y posteriores, el iPad mini cuatro y posteriores, y el Apple Watch Series 1 y posteriores.

Las correcciones están disponibles en las versiones iOS 12.4.9 y 14.2, iPadOS 14.2, watchOS 5.3.9, 6.2.9 y 7.1, y como una actualización suplementaria para macOS Catalina 10.15.7.

De acuerdo con el boletín de seguridad de Apple, las fallas son:

CVE-2020-27930: Un problema de corrupción de memoria en la biblioteca FontParser que permite la ejecución remota de código cuando se procesa una fuente mal hecha.

CVE-2020-27932: Un problema de inicialización de memoria que permite a una aplicación maliciosa ejecutar código arbitrario con privilegios de kernel.

CVE-2020-27950: Un problema de confusión de tipos que hace posible que una aplicación maliciosa revele la memoria del kernel.

La publicación es la última que el Proyecto Cero ha reportado desde el 20 de octubre. Primero vino la biblioteca de renderizado de fuentes de zero-day de Chrome en Freetype (CVE-2020-15999), luego una de Windows de zero-day (CVE-2020-17087), seguida de dos más en Chrome y su variante Android (CVE-2020-16009 y CVE-2020-16010).

Se espera que el 10 de noviembre se publique un parche para el día zero-day de Windows como parte de parches de este mes.

Mientras se esperan más detalles sobre si los zero-days fueron explotados por el mismo actor de la amenaza, se recomienda que los usuarios actualicen sus dispositivos a las últimas versiones para mitigar el riesgo asociado.

Referencias:

https://thehackernews.com/2020/11/update-your-ios-devices-now-3-actively.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *