Η Apple διόρθωσε χθες τρεις zero-day ευπάθειες στο iOS, που χρησιμοποιούνται ήδη από εγκληματίες του κυβερνοχώρου και επηρεάζουν συσκευές iPhone, iPad και iPod.
Η εταιρεία κυκλοφόρησε τις διορθώσεις και έδωσε κάποια στοιχεία για τις τρεις zero-day ευπάθειες, λέγοντας πως έμαθε γι’ αυτές μέσω κάποιων αναφορών που έφτασαν στα χέρια της.
Σύμφωνα με την Apple, οι συσκευές που επηρεάζονται από τις iOS ευπάθειες είναι τα iPhone 6s και μεταγενέστερες εκδόσεις, το iPod touch 7ης γενιάς, τα iPad Air 2 και μεταγενέστερες εκδόσεις και τα iPad mini 4 και οι μεταγενέστερες εκδόσεις.
Τα zero-day σφάλματα διορθώθηκαν από την Apple, με την κυκλοφορία του iOS 14.2, της τελευταίας stable έκδοσης του mobile λειτουργικού συστήματός της.
Kernel και FontParser σφάλματα
Η Apple είπε ότι η μια από τις τρεις ευπάθειες επιτρέπει την απομακρυσμένη εκτέλεση κώδικα (RCE). Αυτή η ευπάθεια έχει ονομαστεί CVE-2020-27930 και ενεργοποιείται από ένα ζήτημα μνήμης που σχετίζεται με τη βιβλιοθήκη FontParser.
Η δεύτερη iOS ευπάθεια (CVE-2020-27950) είναι ένα “kernel memory leak” και προκαλείται από ένα πρόβλημα μνήμης, που επιτρέπει σε κακόβουλες εφαρμογές να αποκτήσουν πρόσβαση στην kernel μνήμη.
Τέλος, η τρίτη ευπάθεια (CVE-2020-27932) επιτρέπει στον επιτιθέμενο να αποκτήσει περισσότερα προνόμια στη συσκευή το θύματος (επιτρέπει σε κακόβουλες εφαρμογές να εκτελούν κώδικα με kernel privileges).
Αυτή που ανακάλυψε και ενημέρωσε την Apple για τις τρεις iOS zero-day ευπάθειες, ήταν η Project Zero, η ομάδα ασφαλείας της Google.
“Παρατηρήθηκε στοχευμένη εκμετάλλευση των ευπαθειών, παρόμοια με τις άλλες zero-day ευπάθειες που ανακαλύψαμε πρόσφατα“, δήλωσε ο Shane Huntley της Google. “Δεν σχετίζονται με τις εκλογές“.
Η ομάδα Project Zero έχει ανακαλύψει πέντε zero-day ευπάθειες σε λίγες μέρες
Τις τελευταίες δύο εβδομάδες, η ομάδα ασφαλείας της Google έχει ανακαλύψει άλλες τέσσερις zero-day ευπάθειες, πέρα από αυτή της Apple.
Αρχικά, η Google διόρθωσε δύο τέτοια σφάλματα που χρησιμοποιούνταν ήδη από εγκληματίες του κυβερνοχώρου. Ήταν δύο ευπάθειες στο Chrome (CVE-2020-15999 στο FreeType text-rendering library και CVE-2020-16009 στο WebAssembly και JavaScript engine).
Έπειτα, ανακαλύφθηκε και διορθώθηκε ένα τρίτο σφάλμα (CVE-2020-16010) που προκλήθηκε από “heap buffer overflow” στο Android UI. Η Google διόρθωσε αυτή την ευπάθεια με την κυκλοφορία της Chrome έκδοσης για Android, 86.0.4240.185.
Τέλος, οι ερευνητές της Google έχουν ανακαλύψει και μια zero-day ευπάθεια στο Windows kernel που επηρεάζει όλες τις εκδόσεις μεταξύ των Windows 7 και των Windows 10 (συμπεριλαμβανομένων αυτών των δύο εκδόσεων). Αυτή η ευπάθεια αναμένεται να διορθωθεί από τη Microsoft στις 10 Νοεμβρίου, με την κυκλοφορία του Patch Tuesday Νοεμβρίου.
Πηγή: Bleeping Computer