Apple lanzó parches de iOS para tres vulnerabilidades de día cero que fueron descubiertas por el equipo de seguridad Project Zero de Google.
Los investigadores dijeron que las tres vulnerabilidades se usaron como parte de una cadena de exploits que permite a los atacantes comprometer los dispositivos iOS y potencialmente convertir sus dispositivos en su contra, tomar el control de la cámara o el micrófono, compartir datos de ubicación y registrar las pulsaciones de teclas cuando los usuarios ingresan credenciales personales o laborales.
Shane Huntley, director del grupo de análisis de amenazas de Google Security, escribió en un tweet que los días cero específicos en la naturaleza parcheados por Apple a fines de esta semana eran similares a los otros días cero que Google informó en su plataforma Chrome a principios de esta semana. Huntley también agregó que los días cero no parecían estar relacionados con ninguna actividad de piratería relacionada con las elecciones.
Las tres vulnerabilidades fueron las siguientes:
- CVE-2020-27930: Una falla de ejecución de código remoto de FontParser de iOS que permite a los atacantes ejecutar el código incorrecto en productos iOS.
- CVE-2020-27932: Defecto en el kernel de iOS que permite a los atacantes ejecutar código malicioso con privilegios de nivel de kernel.
- CVE-2020-27950: Pérdida de memoria en el kernel de iOS que permite a los malos obtener contenido de la memoria del kernel de iOS.
Chris Hazelton, director de soluciones de seguridad de Lookout, agregó que Apple se ha movido rápidamente para parchear estas vulnerabilidades. Hazelton dijo que si bien los sistemas operativos móviles se construyeron para ser más seguros que los de las computadoras de escritorio, a medida que los teléfonos inteligentes y las tabletas aumentan en capacidades, también lo hace su potencial de vulnerabilidades.
“Las vulnerabilidades a nivel de sistema operativo móvil pueden dejar la puerta abierta para que los ciberdelincuentes y los actores del estado nacional roben datos personales y organizacionales”, dijo Hazelton.
Los atacantes pueden aprovechar las vulnerabilidades de los teléfonos inteligentes para eludir las protecciones nativas en los sistemas operativos móviles, dijo Hazelton. Por ejemplo, en el caso de la vulnerabilidad de iOS llamada FontParser (CVE-2020-27930), una fuente maliciosa desencadena una vulnerabilidad que permite la ejecución de código arbitrario. Tal ejecución de código podría incluir la instalación de una aplicación maliciosa que tenga acceso privilegiado al dispositivo. Si bien ni Apple ni Google revelaron cuántos objetivos fueron alcanzados, como medida de seguridad, aconsejaron a los usuarios de iOS que ejecutaran el parche para iOS 14.2.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
