Se pueden usar tres vulnerabilidades día cero en iOS 14.2 y versiones anteriores para espiar su iPhone. Actualice ahora

Los equipos de seguridad de Apple anunciaron la corrección de tres vulnerabilidades día cero en el sistema iOS, mismas que han sido explotadas activamente y que afectan a los dispositivos iPhone, iPad e iPod: “Estamos al tanto de los informes sobre un exploit para este problema en escenarios reales”, menciona la alerta de seguridad de la compañía.

Sobre los dispositivos vulnerables, las fallas afectan a todas las versiones de iPhone posteriores a 6S, iPod touch de séptima generación, iPad Air 2 y posteriores, además del iPad mini 4 y posteriores. Las fallas fueron corregidas por Apple con el lanzamiento de iOS 14.2, la última versión estable del sistema operativo móvil.

La primera falla, identificada como CVE-2020-27930, es un error de ejecución remota de código (RCE) desencadenado por un problema de corrupción de memoria al procesar una fuente creada con fines maliciosos usando la biblioteca FontParser. La segunda falla día cero es una fuga de memoria del kernel identificada como CVE-2020-27950 y causada por un problema de inicialización de la memoria que permite que las aplicaciones maliciosas obtengan acceso a la memoria del kernel.

Finalmente, la tercera es una falla de escalada de privilegios del kernel (CVE-2020-27932) causada por un problema de confusión de tipos que hace posible que las aplicaciones maliciosas ejecuten código arbitrario con privilegios del kernel. Project Zero, el equipo de búsqueda de vulnerabilidades de Google estuvo a cargo de estos reportes, notificando a Apple en tiempo y forma.

Además de estas fallas críticas, Proyecto Zero reportó otras cuatro vulnerabilidades que fueron corregidas durante las últimas dos semanas. Google corrigió dos fallas de día cero de Chrome explotadas activamente, incluyendo una falla de desbordamiento de búfer de pila en la interfaz de usuario Android.