Google mantiene un grupo experto en la caza de vulnerabilidades en todo tipo de productos, desde sistemas operativos hasta aplicaciones de amplio uso, el Proyecto Cero, y ha notificado infinidad de vulnerabilidades desde que se creara en 2014. La última tanda de vulnerabilidades tiene que ver con la última versión del iOS de Apple, ya que en total han encontrado tres vulnerabilidades de día cero —anteriormente desconocidas y por tanto no arregladas— que están siendo activamente explotadas.
Esas vulnerabilidades son las CVE-2020-27930, CVE-2020-27950 y CVE-2020-27932. La primera tiene que ver con la ejecución de código malicioso a través de fuentes especialmente manipuladas, la segunda con el acceso a las ubicaciones de memoria del núcleo del sistema operativo, y la tercera es un fallo que permite la ejecución de código con privilegios de sistema. Todas ellas han sido subsanadas por Apple en iOS 14.2, la versión distribuida esta semana por la compañía junto a nuevas versiones de HomePod, WatchOS e iPadOS, así como en macOS 10.15.7.
Proyecto Cero ha estado atareada en las últimas semanas ya que además ha detectado otras cuatro vulnerabilidades de día cero, tres de ellas en la aplicación de Chome y una de Windows 7 y 10. Estas estaban en uso ya que se combinaba una de Chrome (CVE-2020-15999) que permitía una ejecución limitada de código arbitrario con la de Windows (CVE-2020-117087) para obtener remotamente privilegios de sistema. Las de Chrome ya han sido parcheadas, mientras que la de Windows será solventada en los próximos días.
Vía: Ars Technica.