Descubiertas tres vulnerabilidades Zero-Day en dispositivos Apple

Zero-Day Apple

En una actualización lanzada por Apple la semana pasada se
parcheaban tres vulnerabilidades Zero-Day las cuales han sido descubiertas
siendo utilizadas para poder atacar dispositivos iOS.

Se desconoce si estas vulnerabilidades Zero-Day han sido utilizadas
por los ciberdelincuentes para atacar a objetivos seleccionados de forma individual
o bien han sido de forma masiva, es recomendable actualizar los dispositivos a la
nueva versión iOS 14.2, versión la cual han sido aplicados los parches de seguridad.

El grupo Google Project Zero fue quien descubrió estas
vulnerabilidades e informo a Apple de la existencia de estas. Por otra parte,
el líder del equipo, Ben Hawkes ha informado de que las vulnerabilidades
descubiertas son:

  • CVE-2020-27930:
    Vulnerabilidad que permite a los atacantes ejecutar de forma remota código en
    dispositivos iOS, esto es posible debido a un fallo de ejecución remota de
    código en el componente FontParser.
  • CVE-2020-27932: Es
    una vulnerabilidad que permite a los atacantes ejecutar código malicioso con privilegios
    de kernel, el fallo se encuentra en el kernel de iOS el cual permite una
    escalada de privilegios.
  • CVE-2020-27950:
    Debido a una perdida de memoria en el kernel de iOS los atacantes pueden
    recuperar contenido de la memoria del kernel de un dispositivo con iOS.

Los investigadores
creen que estas vulnerabilidades están siendo utilizadas en conjunto, como
parte de una cadena de exploits, cosa que permite a los atacantes poner en
peligro los dispositivos iPhone de forma completamente remota.

Shane Huntley el
director del grupo de análisis de amenazas de Google ha reconocido que los Zero-Days
que han descubierto en dispositivos Apple se encuentran relacionados con otros
tres Zero-Days que fueron reportados días antes del descubrimiento de estos en
Google Chrome y Windows.

Además de lanzar una
actualización para los iPhones de última generación, Apple ha corregido estos
errores de seguridad en iPadOS 14.2, en watchOS con las versiones 5.3.8, 6.2.9
y 7.1, y también han lanzado una actualización para iPhones de generaciones
anteriores, la versión de iOS 12.4.9.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity