As fontes acabaram sendo contagiosas: três vulnerabilidades de dia zero no Google Chrome encontradas no Apple iOS e macOS

Os pesquisadores do Google relataram a descoberta de vulnerabilidades de dia zero nos sistemas operacionais da Apple. As vulnerabilidades encontradas são da mesma natureza que as vulnerabilidades descobertas anteriormente no Windows e no Chrome. Um invasor pode forçar o sistema a executar código malicioso por meio de fontes modificadas. A Apple corrigiu o iOS 12.4.9, macOS Catalina 10.15.7, iPadOS 14.2 e watchOS 5.3.8, 6.2.9, 7.1 e incentiva os usuários a atualizar.

Tradicionalmente, os relatórios de vulnerabilidades de dia zero não são acompanhados de detalhes para que os usuários possam atualizar e os hackers não consigam criar novos exploits rapidamente. No entanto, essas vulnerabilidades já estão sendo exploradas por hackers, por isso são relatadas com um atraso de no máximo sete dias. Esses poucos dias foram suficientes para a Apple consertar as falhas em seus sistemas operacionais.

Em particular, três vulnerabilidades foram corrigidas: CVE-2020-27930, CVE-2020-27932 e CVE-2020-27950. A vulnerabilidade CVE-2020-27930 afeta o iPhone 5s, iPhone 6 e 6 Plus, iPad Air, iPad mini 2 e 3 e iPod touch. Ele está oculto no componente FontParser e leva à execução de código arbitrário por um invasor.

Vulnerabilidade CVE-2020-27932 também permite que código arbitrário seja executado com privilégios de kernel. Afeta os mesmos smartphones e tablets da Apple que a vulnerabilidade anterior. Vulnerabilidade CVE-2020-27950 permite que um aplicativo malicioso exponha o conteúdo da memória do kernel nos mesmos dispositivos Apple.