Apple cierra el agujero de ataque en los iPhones que estaban siendo explotados

La última vez que Apple actualizó iOS 12 fue a mediados de julio de 2020, en ese momento no había vulnerabilidades de seguridad conocidas: la actualización estaba buscando simplemente para corregir los peores errores para que los desarrolladores de Apple puedan dejar de mantener la versión. Sin embargo, el 7 de noviembre, se agregó una nueva versión de iOS 12 a las actualizaciones para macOS Catalina, iOS 14 y tvOS 14.

Hay cuatro entradas CVE (Vulnerabilidades y exposiciones comunes) en las Notas de seguridad de Apple, la primera de las cuales es más molesta que peligrosa: los participantes en una llamada grupal de FaceTime podrían enviar videos involuntariamente sin ellos mismos. reportalo.

Los otros tres agujeros son para el kernel y el analizador de fuentes y también se pueden encontrar en las actualizaciones para macOS Catalina, iOS y iPadOS 14, watchOS 7.1, watchOS 5.3.9 y watchOS 6.2.9. tvOS 14.2 no se vio amenazado por estas vulnerabilidades. Leer: Apple actualiza iPhone, iPad, HomePod, Apple TV y Watch

En el caso de los dos problemas del kernel, Apple escribe que están al tanto de los informes de que estos agujeros ya se están utilizando en ataques "en la naturaleza", es decir, en usuarios finales reales. , por lo que estos son agujeros de día cero reales.

Por cierto, el equipo de seguridad de Google, Google Project Zero, descubrió los tres errores y los informó a Apple. Los mismos errores también se encontraron en Chrome y Android.

Apple solucionó tres problemas informados por Project Zero que fueron explotados activamente en la naturaleza. CVE-2020-27930 (RCE), CVE-2020-27950 (pérdida de memoria) y CVE-2020-27932 (elevación de privilegios del kernel). El boletín de seguridad está disponible aquí: https://t.co/4OIReajIp6

– Ben Hawkes (@benhawkes)
5 de noviembre de 2020

Por el momento, aún no está claro cuántos usuarios de iOS podrían ser atacados por los agujeros de seguridad descubiertos.

El error FontParser permite la capacidad de ejecutar cualquier código de forma remota, teóricamente es posible atacar al iPhone con correo electrónico, mensaje o chat sin soltarlo. atacado se consciente de ello.

La firma de seguridad Zecops también ha confirmado que ha registrado ataques principalmente contra Chrome. Estos han estado sucediendo durante al menos dos semanas. El hecho de que Apple haya actualizado watchOS 5 y 6 además de iOS 12 muestra que la desviación del día cero fue grave.

Explotación dirigida en naturaleza similar a otros 0 días reportados recientemente. No vinculado a la focalización electoral.

– Shane Huntley (@ShaneHuntley)
5 de noviembre de 2020

Por cierto, iOS 13 no se ha actualizado, si todavía está usando la versión anterior, le recomendamos que actualice a iOS 14.2.

Tenemos un artículo separado que analiza los mejores consejos de seguridad para iPhone.

Este artículo apareció originalmente en Macwelt. Traducción de Karen Haslam.