Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

Apple: corrige tres vulnerabilidades – zero day

Apple lanzó el 26 de enero de 2021 actualizaciones para iOS, iPadOS y tvOS con correcciones para tres vulnerabilidades de seguridad, que pudieron ser explotadas y haber permitido a un atacante escalar privilegios y lograr la ejecución remota de código.

De acuerdo al informe de un investigador anónimo, las tres fallas de día cero:

  • CVE-2021-1782
  • CVE-2021-1870
  • CVE-2021-1871

El fabricante del iPhone no reveló cuán extendido fue el ataque ni reveló las identidades de los atacantes que los explotan activamente.

Si bien el error de escalada de privilegios en el kernel (CVE-2021-1782) se señaló como una condición de carrera que podría hacer que una aplicación maliciosa elevara sus privilegios, las otras dos deficiencias, denominadas un “problema lógico”, se descubrieron en el navegador WebKit. Engine (CVE-2021-1870 y CVE-2021-1871), lo que permite a un atacante lograr la ejecución de código arbitrario dentro de Safari.

Apple aseguró que la condición de carrera y las fallas de WebKit se solucionaron mejorando el bloqueo y las restricciones, respectivamente.

Si bien es poco probable que los detalles exactos del exploit que aprovechan las fallas se hagan públicos hasta que los parches se hayan aplicado ampliamente, no sería una sorpresa si estuvieran encadenados para llevar a cabo ataques de abrevadero contra posibles objetivos.

Tal ataque implicaría entregar el día simplemente visitando un sitio web comprometido que luego se aprovecha de las vulnerabilidades mencionadas anteriormente para escalar sus privilegios y ejecutar comandos arbitrarios para tomar el control del dispositivo.

Las actualizaciones ahora están disponibles para:

  • iPhone 6s y posteriores.
  • iPad Air 2 y posteriores
  • iPad mini 4 y posteriores
  • iPod touch (séptima generación)
  • Apple TV 4K y Apple TV HD.

Las noticias de los últimos días cero se producen después de que la compañía resolviera tres vulnerabilidades explotadas activamente en noviembre de 2020 y un error de día cero separado en iOS 13.5.1 que se reveló como utilizado en una campaña de ciberespionaje dirigida a periodistas de Al Jazeera el año pasado.

Vía MasterHack

Comentarios

comentarios

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!