iOS设备被发现3个正在被黑客利用的0day漏洞

iOS设备被发现3个正在被黑客利用的0day漏洞

苹果周四[2020年11月5日]发布了多个安全更新,以修补三个零日漏洞,这些漏洞被发现是在野被积极利用的。

这些缺陷是作为其iOS,iPadOS,macOS和watchOS更新的一部分推出的,存在于FontParser组件和内核中,从而使攻击者可以远程执行任意代码并以内核级特权运行恶意程序。

此0day漏洞是由Google的零项目安全小组发现并报告给苹果的。

iPhone制造商说:“苹果公司已经知道有报道称,存在针对该问题的攻击。”这家iPhone制造商在三个零日漏洞里说,没有提供任何其他细节,以便允许绝大多数用户安装更新。

受影响的设备列表

iPhone 5s和更高版本
iPod touch第6和第7代
iPad Air
iPad mini 2和更高版本
Apple Watch Series 1和更高版本。

该修复程序在iOS 12.4.9和14.2,iPadOS 14.2,watchOS 5.3.9、6.2.9和7.1版本中可用,并作为macOS Catalina 10.15.7的补充更新提供。

漏洞详情

根据Apple的安全公告,这些安全缺陷是:

  • CVE-2020-27930: FontParser库中的一个内存损坏问题,允许在处理恶意制作的字体时远程执行代码。
  • CVE-2020-27932:一个内存初始化问题,允许恶意应用程序使用内核特权执行任意代码。
  • CVE-2020-27950:一种类型混淆问题,使恶意应用程序有可能泄露内核内存。

Google威胁分析小组负责人Shane Huntley说: “针对野外的有针对性的开发与最近报道的其他0day相似。” “与任何选举目标无关。”

twitter地址:
https://twitter.com/ShaneHuntley

这是自10月20日以来零日项目报告的最新零日字符串。首先是Freetype字体渲染库中的Chrome零日(CVE-2020-15999),然后是Windows零日(CVE-2020 -17087),然后是Chrome及其Android变体(CVE-2020-16009和CVE-2020-16010)中的另外两个。

Windows零日补丁预计将在11月10日发布,作为本月补丁星期二的一部分。

虽然还有更多细节等待零日攻击是否被同一威胁行为者滥用,但建议用户将其设备更新到最新版本,以减轻与漏洞相关的风险。

from