Apple lanza actualización para corregir 3 vulnerabilidades 0-day explotadas activamente – Masterhacks Blog

Apple lanza actualización para corregir 3 vulnerabilidades 0-day explotadas activamente

Apple lanzó este jueves varias actualizaciones de seguridad para parchear tres vulnerabilidades de día cero que se revelaron como explotadas activamente en la naturaleza.

Implementadas como parte de sus actualizaciones para iOS, iPadOS, macOS y watchOS, las vulnerabilidades residen en el componente FontParser y el kernel, lo que permite a los atacantes ejecutar remotamente código arbitrario y ejecutar programas maliciosos con privilegios de nivel de kernel.

Las vulnerabilidades de día cero fueron descubiertas e informadas a Apple por el equipo de seguridad ProjectZero de Google.

«Apple está al tanto de los informes sobre una vulnerabilidad para este problema», dijo Apple sin mencionar detalles adicionales para dar tiempo a los usuarios de instalar las actualizaciones.

La lista de dispositivos afectados incluye iPhone 5s y posteriores, iPod touch de sexta y séptima generación, iPad Air, iPad mini 2 y posteriores y Apple Watch Series 1 y posteriores.

Las correcciones están disponibles en las versiones iOS 12.4.9 y 14.2, iPadOS 14.2, watchOS 5.3.9, 6.2.9 y 7.1, y como actualización complementaria para macOS Catalina 10.15.7.

El boletín de seguridad de Apple menciona las vulnerabilidades:

  • CVE-2020-27930: Un problema de corrupción de memoria en la biblioteca FontParser, que permite la ejecución remota de código al procesar una fuente creada con fines malintencionados.
  • CVE-2020-27932: Un problema de inicialización de la memoria que permite que una aplicación maliciosa ejecute código arbitrario con privilegios de kernel.
  • CVE-2020-27950: Un problema de confusión de tipos que hace posible que una aplicación maliciosa revele la memoria del kernel.

«Explotación dirigida en la naturaleza similar a otros 0-day reportados recientemente. No relacionado con ningún objetivo electoral», dijo Shane Huntley, director del Grupo de Análisis de Amenazas de Google.

Esta es la divulgación más reciente de vulnerabilidades de día cero que ProjectZero ha informado desde el 20 de octubre. Primero se informó sobre un 0-day en la biblioteca de representación de fuentes FreeType (CVE-2020-15999), después un día cero de Windows (CVE-2020-17087), seguidos de dos más en Chrome y su variante Android (CVE-2020-16009 y CVE-2020-16010).

Se espera que se lance un parche para el día cero de Windows el 10 de noviembre como parte del martes de parches de este mes.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *