Apple ha parcheado tres vulnerabilidades en iOS (y iPadOS) que estaban siendo explotadas activamente en ataques dirigidos. Las vulnerabilidades que se explotan en la naturaleza sin un parche disponible se denominan días cero. Las vulnerabilidades fueron encontradas y reveladas por el equipo Project Zero de Google, y ayer se emitieron parches.
¿Qué ha parcheado Apple en la actualización?
Las fallas de seguridad informática divulgadas públicamente se enumeran en la lista Common Vulnerabilities and Exposures (CVE). CVE es un diccionario que proporciona definiciones de vulnerabilidades y exposiciones de ciberseguridad divulgadas públicamente. El objetivo de CVE es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).
Los días cero se enumeran bajo los números de identificación:
CVE-2020-27930 : Este problema es afectado por un procesamiento desconocido del componente FontParser. La manipulación con una entrada desconocida podría conducir a una vulnerabilidad de corrupción de memoria. Esto significa que se puede crear una fuente que da lugar a la corrupción de la memoria, lo que permite un ataque de ejecución remota de código ( RCE ) .
CVE-2020-27932 : una aplicación malintencionada puede ejecutar código arbitrario con privilegios del kernel. Apple está al tanto de los informes de que existe una vulnerabilidad para este problema en la naturaleza. El uso de dicha vulnerabilidad podría permitir que el malware eluda las restricciones de seguridad en un sistema afectado.
CVE-2020-27950 : una aplicación maliciosa puede revelar la memoria del kernel. Apple está al tanto de los informes de que existe una vulnerabilidad para este problema en la naturaleza. La memoria del núcleo revelada puede contener datos confidenciales como claves de cifrado y direcciones de memoria que se utilizan para anular la distribución aleatoria del espacio de direcciones.
¿Qué es Project Zero?
Formado en 2014, Project Zero es un equipo de investigadores de seguridad de Google que encuentra y estudia las vulnerabilidades de día cero en sistemas de hardware y software. Su misión es hacer que el descubrimiento y la explotación de vulnerabilidades de seguridad sea más difícil y mejorar significativamente la seguridad de Internet para todos.
Actualiza tu iOS ahora
Dado que Apple ha señalado que al menos dos de estas vulnerabilidades están siendo explotadas en la naturaleza y nos ha informado de las posibles consecuencias, los usuarios deben instalar la actualización lo antes posible.
Se recomienda a los propietarios de un iPhone o iPad que actualicen a iOS 14.2 y iPadOS 14.2 o iOS 12.4.9. Apple parcheó las mismas vulnerabilidades en la Actualización complementaria para macOS Catalina 10.15.7. Siempre puede encontrar las últimas actualizaciones de seguridad de Apple en su sitio de actualizaciones de seguridad .
Sobre el autor