Apple parchea tres zero days de iOS explotados activamente

Iniciado por AXCESS, Noviembre 06, 2020, 10:46:46 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple ha parcheado hoy tres vulnerabilidades de día cero de iOS, explotadas activamente, y que afectan a los dispositivos iPhone, iPad e iPod.

"Apple está al tanto de los informes de que existe un exploit ...", dijo la compañía en un aviso de seguridad emitido hoy al describir las tres fallas.

La lista de dispositivos afectados incluye iPhone 6s y posteriores, iPod touch de séptima generación, iPad Air 2 y posteriores, y iPad mini 4 y posteriores.

Los días cero fueron abordados por Apple hoy, con el lanzamiento de iOS 14.2, la última versión estable del sistema operativo móvil.

También afectan a otros dispositivos y plataformas de Apple, incluidos:

     Mac con versiones de macOS Catalina anteriores a macOS Catalina 10.15.7
     iPads con versiones de iPadOS anteriores a iOS 14.2
     Relojes Apple con versiones de watchOS anteriores a watchOS 7.1, watchOS 6.2.9, watchOS 5.3.9
     Apple TV con versiones de tvOS anteriores a tvOS 14.2

Errores de Kernel y FontParser


Una de las vulnerabilidades es un error de ejecución remota de código (RCE) rastreado como CVE-2020-27930 y, desencadenado por un problema de corrupción de la memoria al procesar una fuente, creada con fines malintencionados por la biblioteca FontParser.

El segundo día cero de iOS es una fuga de memoria del kernel rastreada como CVE-2020-27950 y causada por un problema de inicialización de la memoria, que permite que las aplicaciones maliciosas obtengan acceso a la memoria del kernel.

El tercer error que se explota activamente es una falla de escalada de privilegios del kernel (CVE-2020-27932) causada por un problema de confusión de tipos, que hace posible que las aplicaciones maliciosas ejecuten código arbitrario con privilegios del kernel.

Project Zero, el equipo de búsqueda de errores de 0day de Google, fueron los que descubrieron e informaron los problemas de seguridad, al equipo de seguridad de Apple.

"Explotación similar a los otros 0 días reportados recientemente", dijo Shane Huntley, Director y Grupo de Análisis de Amenazas de Google. "No relacionado con ningún objetivo electoral".

"Apple ha solucionado tres problemas informados por Project Zero que estaban siendo explotados activamente . CVE-2020-27930 (RCE), CVE-2020-27950 (pérdida de memoria) y CVE-2020-27932 (escalamiento de privilegios del kernel). El boletín de seguridad está disponible:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

     - Ben Hawkes (@benhawkes) 5 de noviembre de 2020"

Más 0 dsys encontrados por Project Zero

Los investigadores del Proyecto Zero de Google también descubrieron otros cuatro días cero, revelados o parcheados durante las últimas dos semanas.

Google corrigió dos fallas de día cero de Chrome explotadas activamente (CVE-2020-15999 en la biblioteca de representación de texto FreeType y CVE-2020-16009 en el motor WebAssembly y JavaScript).

Un tercero (CVE-2020-16010) causado por un desbordamiento del búfer de pila, en la interfaz de usuario de Android se solucionó en Chrome para Android 86.0.4240.185, lanzado el lunes.

Los investigadores de Project Zero también revelaron una elevación de privilegios (EoP) de día cero, en el kernel de Windows explotado en la naturaleza, que afecta a todas las versiones entre Windows 7 y Windows 10.

Microsoft debería proporcionar un parche para Windows zero-day el 10 de noviembre durante el martes de parches de este mes.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta