Apple lanzó nuevas actualizaciones para corregir errores de día cero en sus dispositivos

Hoy, Apple lanzó iOS 14.2, iPadOS 14.2 y una nueva actualización para su iPhone, iPad y iPod. Estas actualizaciones contienen parches para tres errores críticos de día cero mientras ya están siendo explorados en la jungla. Si bien uno es un error de RCE, los otros dos son pérdidas de memoria del kernel y errores de escalada de privilegios. El equipo de Google Project Zero informó esto a Apple.

Error de RCE en iPhones y iPads

Apple lanzó nuevas actualizaciones para corregir errores de día cero en sus dispositivos

Aunque los dispositivos de Apple se consideran más seguros que cualquier otra cosa, están plagados de errores similares a otros, aunque se encuentran menos. Hoy, la compañía lanzó dos nuevas actualizaciones para su iPhone (desde iOS 14.2), iPadOS (como iPadOS 14.2) y el iPod, para corregir tres errores de día cero informados por El equipo de Google Project Zero.

Estos errores afectan a los dispositivos Apple en iPhone 6 y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores y iPod touch de séptima generación.

Apple dijo que es «al tanto de los informes de que hay un exploit para este problema suelto, ”Así que lanzó estas actualizaciones para corregirlas todas. Además, Shane Huntley del Grupo de Inteligencia de Amenazas de Google dijo: «Exploración dirigida en naturaleza similar a otros 0 días reportados recientemente ”.

Los tres errores de día cero son los siguientes;

CVE-2020-27930 – Un error de ejecución remota de código (RCE) se debe a un problema de corrupción de la memoria cuando la biblioteca FontParser del dispositivo procesa una fuente creada con fines malintencionados enviada por el atacante.

CVE-2020-27950 – relacionada con una fuga de memoria del kernel, esta vulnerabilidad es el resultado de un problema de inicialización de la memoria que, en última instancia, permite que cualquier aplicación maliciosa acceda a la memoria del kernel del dispositivo.

CVE-2020-27932 – Este es otro problema de confusión, en el que una aplicación maliciosa puede ejecutar código arbitrario con privilegios del kernel en el dispositivo, lo que permite que el atacante haya escalado el privilegio.

El equipo de Project Zero también descubrió algunos errores en su navegador Chrome y algunos en el sistema operativo Windows de Microsoft, que se informó la semana pasada. Aunque el error en Chrome se solucionó con una actualización de parche pronto, el error en Windows afecta a las versiones 7 a 10, lo que permite a los atacantes con privilegios escalados y explotar el kernel.

Artículos relacionados