Apple parchea tres zero days de iOS explotados activamente

  • 0 Respuestas
  • 463 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 969
  • Actividad:
    100%
  • Country: 00
  • Reputación 17
    • Ver Perfil
    • Email


Apple ha parcheado hoy tres vulnerabilidades de día cero de iOS, explotadas activamente, y que afectan a los dispositivos iPhone, iPad e iPod.

"Apple está al tanto de los informes de que existe un exploit …", dijo la compañía en un aviso de seguridad emitido hoy al describir las tres fallas.

La lista de dispositivos afectados incluye iPhone 6s y posteriores, iPod touch de séptima generación, iPad Air 2 y posteriores, y iPad mini 4 y posteriores.

Los días cero fueron abordados por Apple hoy, con el lanzamiento de iOS 14.2, la última versión estable del sistema operativo móvil.

También afectan a otros dispositivos y plataformas de Apple, incluidos:

     Mac con versiones de macOS Catalina anteriores a macOS Catalina 10.15.7
     iPads con versiones de iPadOS anteriores a iOS 14.2
     Relojes Apple con versiones de watchOS anteriores a watchOS 7.1, watchOS 6.2.9, watchOS 5.3.9
     Apple TV con versiones de tvOS anteriores a tvOS 14.2

Errores de Kernel y FontParser


Una de las vulnerabilidades es un error de ejecución remota de código (RCE) rastreado como CVE-2020-27930 y, desencadenado por un problema de corrupción de la memoria al procesar una fuente, creada con fines malintencionados por la biblioteca FontParser.

El segundo día cero de iOS es una fuga de memoria del kernel rastreada como CVE-2020-27950 y causada por un problema de inicialización de la memoria, que permite que las aplicaciones maliciosas obtengan acceso a la memoria del kernel.

El tercer error que se explota activamente es una falla de escalada de privilegios del kernel (CVE-2020-27932) causada por un problema de confusión de tipos, que hace posible que las aplicaciones maliciosas ejecuten código arbitrario con privilegios del kernel.

Project Zero, el equipo de búsqueda de errores de 0day de Google, fueron los que descubrieron e informaron los problemas de seguridad, al equipo de seguridad de Apple.

"Explotación similar a los otros 0 días reportados recientemente", dijo Shane Huntley, Director y Grupo de Análisis de Amenazas de Google. "No relacionado con ningún objetivo electoral".

Apple ha solucionado tres problemas informados por Project Zero que estaban siendo explotados activamente . CVE-2020-27930 (RCE), CVE-2020-27950 (pérdida de memoria) y CVE-2020-27932 (escalamiento de privilegios del kernel). El boletín de seguridad está disponible:

https://t.co/4OIReajIp6

     - Ben Hawkes (@benhawkes) 5 de noviembre de 2020

Más 0 dsys encontrados por Project Zero

Los investigadores del Proyecto Zero de Google también descubrieron otros cuatro días cero, revelados o parcheados durante las últimas dos semanas.

Google corrigió dos fallas de día cero de Chrome explotadas activamente (CVE-2020-15999 en la biblioteca de representación de texto FreeType y CVE-2020-16009 en el motor WebAssembly y JavaScript).

Un tercero (CVE-2020-16010) causado por un desbordamiento del búfer de pila, en la interfaz de usuario de Android se solucionó en Chrome para Android 86.0.4240.185, lanzado el lunes.

Los investigadores de Project Zero también revelaron una elevación de privilegios (EoP) de día cero, en el kernel de Windows explotado en la naturaleza, que afecta a todas las versiones entre Windows 7 y Windows 10.

Microsoft debería proporcionar un parche para Windows zero-day el 10 de noviembre durante el martes de parches de este mes.

Fuente
:
BleepingComputer
https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

 

Hackers están bloqueando dispositivos de Apple usando "Find my IPhone"

Iniciado por Andrey

Respuestas: 0
Vistas: 1644
Último mensaje Septiembre 23, 2017, 10:57:08 am
por Andrey
"iPod espía" con el que Apple ayudó al gobierno de EEUU, según un ex-ingeniero

Iniciado por Dragora

Respuestas: 0
Vistas: 247
Último mensaje Agosto 19, 2020, 08:19:59 pm
por Dragora
Apple crea un iPhone "solo para hackers"

Iniciado por noxonsoftwares

Respuestas: 0
Vistas: 382
Último mensaje Julio 27, 2020, 09:04:48 am
por noxonsoftwares
Snowden: "Es una estupidez" que el FBI no pueda acceder a un iPhone sin Apple

Iniciado por graphixx

Respuestas: 1
Vistas: 2306
Último mensaje Marzo 13, 2016, 08:01:38 pm
por rush
Tim Cook: "Steve Jobs se sentiría hoy muy orgulloso de Apple"

Iniciado por Alejandro_99

Respuestas: 0
Vistas: 1782
Último mensaje Septiembre 11, 2014, 02:11:58 pm
por Alejandro_99