0
0
A Apple lançou o iOS 14.2 que abordou três vulnerabilidades de zero-day em seu SISTEMA OPERACIONAL móvel que foram abusadas em ataques na natureza.
A Apple abordou três vulnerabilidades de dia zero do iOS ativamente exploradas em ataques selvagens e que afetam dispositivos iPhone, iPad e iPod.
As vulnerabilidades de zero-day foram corrigidas pela gigante de TI com o lançamento do iOS 14.2, os usuários do iOS são aconselhados a instalá-lo imediatamente.
“A Apple está ciente dos relatos de que uma exploração para esse problema existe na natureza”, lê-se no aviso de segurança.
A Apple também corrigiu as falhas com o lançamento do iPadOS 14.2 e do watchOS 5.3.8, 6.2.9e 7.1. Os problemas também foram resolvidos com o lançamento do iOS 12.4.9 para dispositivos iPhone de geração mais antiga.
“Exploração direcionada na natureza semelhante à outra relatada recentemente 0days”, disse Shane Huntley, diretor e do Grupo de Análise de Ameaças do Google. “Não está relacionado com qualquer alvo eleitoral.”https://platform.twitter.com/embed/index.html?creatorScreenName=securityaffairs&dnt=true&embedId=twitter-widget-0&frame=false&hideCard=false&hideThread=false&id=1324431104187670529&lang=en&origin=https%3A%2F%2Fsecurityaffairs.co%2Fwordpress%2F110462%2Fhacking%2Fapple-ios-zero-days.html&siteScreenName=securityaffairs&theme=light&widgetsVersion=ed20a2b%3A1601588405575&width=500px
As vulnerabilidades estão relacionadas a três vulnerabilidades recentemente divulgadas no Chrome (CVE-2020-17087, CVE-2020-16009, CVE-2020-16010) e no Sistema operacional Windows(CVE-2020-17087).
De acordo com o líder da equipe do Google Project Zero, Ben Hawkes, os três dias zero do iOS são:
- CVE-2020-27930 — Um problema de corrupção de memória no componente iOS FontParser que foi abordado com validação de entrada melhorada e que permite que os invasores executem código remotamente em dispositivos iOS.
- CVE-2020-27932 — Um problema de confusão do tipo no kernel do iOS que foi abordado com melhor manuseio de estado e que permite que os atacantes executem códigos maliciosos com privilégios de nível de kernel.
- CVE-2020-27950 — Um problema de inicialização de memória no kernel do iOS que permite aos invasores recuperar conteúdo da memória do kernel de um dispositivo iOS.
Especialistas apontaram que as três falhas foram acorrentadas para comprometer totalmente os dispositivos iPhone remotamente.
O Google não publicou detalhes técnicos sobre os atores de ameaças que exploraram os problemas acima em seus ataques e seus alvos.
Não está claro se os atores de ameaça têm explorado as vulnerabilidades em ataques direcionados ou em campanhas em larga escala.
FONTE: SECURITY AFFAIRS