Estas vulnerabilidades estarían siendo activamente explotadas, afectando a dispositivos iPhone, iPad y iPod.
Aprovechando el lanzamiento de iOS 14.2, la última versión estable del sistema operativo de Apple, la compañía ha comunicado en un boletín diversas actualizaciones de seguridad que incluye esta actualización, entre las que se aprecian correcciones de tres vulnerabilidades reportadas por el equipo de «bug-hunting» Project Zero de Google, para las cuales la compañía de Cupertino ha especificado que están siendo explotadas en la naturaleza.
En la lista de productos afectados se encontrarían dispositivos iPhone 6S y posteriores, iPad Air 2 y posteriores, iPad Mini 4 y posteriores y finalmente iPod Touch de séptima generación.
Una de las vulnerabilidades, catalogada con el CVE-2020-27930, permitiría la ejecución de código de forma remota mediante corrupción de memoria cuando se procesa una fuente maliciosa a través de la librería FontParser.
El segundo zero-day, identificado con el CVE-2020-27950, está causado por un problema de inicialización de memoria que permitiría a una aplicación maliciosa tener acceso a la memoria del kernel.
Finalmente, la tercera vulnerabilidad, que corresponde al CVE-2020-27932, está causada por una confusión de tipos que hace posible a aplicaciones maliciosas ejecutar código arbitrario con privilegios de kernel.
Desde Hispasec Sistemas recomendamos actualizar a la última versión de iOS en los dispositivos afectados para mitigar el impacto de estas vulnerabilidades.
Más información:
Apple patches three actively exploited iOS zero-days https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/
Deja una respuesta