苹果已经解决了三个iOS 0 day漏洞,这些漏洞在在野攻击中经常被利用,从而对iPhone,iPad和iPod等设备产生影响。
随着iOS14.2的发布,零日漏洞已经被IT苹果巨头修复,iOS用户被建议立即安装。
安全公告写道:“苹果公司知道有报道称提到存在针对该问题的攻击。”
苹果还通过发布iPadOS 14.2和watchOS 5.3.8、6.2.9和7.1修复此缺陷。针对iOS 12.4.9版本的iPhone设备,苹果也发布了ios12.4.9以解决此问题。
“有针对性的在野攻击与最近报道的另一0 day相似 ,” Google威胁分析小组负责人Shane Huntley说, “与任何选举目标无关”。
“有针对性的在野攻击与最近报道的另一0 day漏洞相似” 。-Shane Huntley(@ShaneHuntley)2020年11月5日
该漏洞与最近在Chrome中披露的三个漏洞(CVE-2020-17087,CVE-2020-16009,CVE-2020-16010)和Windows OS(CVE-2020-17087)有关。
根据Google Project Zero小组负责人Ben Hawkes的说法,三个iOS 0 day为:
- CVE-2020-27930 — iOS FontParser组件中的内存损坏问题,它使攻击者可以在iOS设备上远程运行代码,已通过改进输入验证解决了该问题。
- CVE-2020-27932 — iOS内核中的类型混淆问题,它使攻击者可以使用内核级特权运行恶意代码,已通过改进状态处理解决了该问题。
- CVE-2020-27950 — iOS内核中的内存初始化问题,攻击者可利用此漏洞从iOS设备的内核内存中检索内容。
专家指出,这三个漏洞已被关联在一起,以完全远程破坏远程iPhone设备。
Google尚未公布利用上述问题进行攻击的威胁参与者及其目标的技术细节。
目前尚不清楚威胁者是否利用了有针对性的攻击或大规模战役中的漏洞。
本文翻译自:https://securityaffairs.co/wordpress/110462/hacking/apple-ios-zero-days.html
