Apple risolve tre vulnerabilità zero-day attivamente sfruttate in iOS: aggiornare immediatamente

Si tratta di tre vulnerabilità che usate insieme possono consentire di compromettere da remoto i dispositivi iOS. Non sono disponibili dettagli su attaccanti e vittime e scopi degli attacchi

Apple ha riliasciato un aggiornamento di sicurezza per il sistema operativo mobile iOS allo scopo di correggere tre vulnerabilità zero-day che sono state scoperte poiché attivamente sfruttate per compiere attacchi verso alcuni utenti di iPhone. Non è chiaro se le vulnerabilità siano state sfruttate per attacchi a tappeto o per condurre operazioni su bersagli specifici, ma in ogni caso si consiglia ovviamente agli utenti iOS di aggiornare immediatamente alla versione 14.2 di iOS.

Tre vulnerabolità 0-day su iOS: aggiornare subito!

Le vulnerabilità sono le seguenti:

  • CVE-2020-27930: possibilità di esecuzione di codice in modalità remota per il componente FontParser di iOS che potrebbe consentire consente agli aggressori di eseguire codice in remoto sui dispositivi iOS
  • CVE-2020-27932: vulnerabilità di elevazione privilegi nel kernel iOS che può consentire agli aggressori di eseguire codice dannoso con privilegi a livello di kernel
  • CVE-2020-27950: perdita di memoria nel kernel iOS che consente agli aggressori di recuperare il contenuto dalla memoria del kernel di un dispositivo iOS

Le vulnerabilità sono state scoperte dal team Project Zero di Google, il quale segnala che gli stessi bug di sicurezza sono stati corretti anche in iPadOS 14.2, watchOS 5.3.8, 6.2.9 e 7.1 e sono state inoltre rilasciate le patch anche per gli iPhone di generazioni più vecchie e inserite in iOS 12.4.9.

 

Non sono state divulgate altre informazioni, su chi possano essere ad esempio gli aggressori e/o i loro obiettivi. Si ritiene tuttavia che le tre vulnerabilità possano essere state utilizzate in sinergia tra loro, come parte di una catena di attacco, per compromettere i dispositivi iPhone da remoto.

Gli aggiornamenti, come di consueto, sono disponibili tramite il meccanismo "Aggiornamento software" integrato in tutti i dispositivi equipaggiati con i sistemi operativi citati sopra.

 

Fonte: https://www.hwupgrade.it/news/apple/apple-risolve-tre-vulnerabilita-zero-day-attivamente-sfruttate-in-ios-aggiornare-immediatamente_93291.html