Apple anunció ayer correcciones para tres vulnerabilidades en iOS, iPadOS y tvOS que podrían haber sido explotadas por piratas informáticos en ataques reales. Apple no especifica la naturaleza de los ataques, su escala y quién puede haberlos organizado.
Las tres vulnerabilidades (CVE-2021-1782, CVE-2021-1870 y CVE-2021-1871) fueron descubiertas por un investigador de seguridad anónimo y corregidas en iOS 14.4 y iPadOS 14.4 para iPhone 6s y posteriores, para iPad Air 2 y posteriores. iPad mini 4 y posteriores y iPod touch de séptima generación. También se publicaron los parches Apple TV 4K y Apple TV HD.
Apple describió las vulnerabilidades de la siguiente manera:
- CVE-2021-1782: vulnerabilidad de condición de ‘carrera’ del kernel. Con su ayuda, la aplicación puede elevar sus privilegios en el sistema.
- CVE-2021-1870 y CVE-2021-1871: errores lógicos en el motor del navegador WebKit. Su explotación exitosa permite la ejecución remota de código.
Es posible, admite Apple, que los atacantes aprovechen estas vulnerabilidades en un paquete para llevar a cabo ataques de “abrevadero”. Estos ataques implican infectar el dispositivo de la víctima con malware a través de sitios web comprometidos. Usando las vulnerabilidades anteriores, el malware puede escalar sus privilegios y ejecutar comandos arbitrarios para obtener el control del dispositivo.
Con agencias internacionales
See the original post at: https://www.cisoadvisor.com.br/apple-corrige-tres-zero-days-de-uma-vez-no-ios-ipados-e-tvos/?rand=59052
