iPhone早已解决了三个iOS 0 day漏洞,这种漏洞在在野进攻中常常被利用,进而对iPhone,iPad和iPod等机器设备造成危害。
伴随着iOS14.2的公布,零日漏洞早已被ITiPhone大佬修补,iOS客户被提议立即安装。
安全性公示写道:“美国苹果公司了解有新闻报道称提及存有对于该问题的进攻。”
iPhone还根据公布iPadOS 14.2和watchOS 5.3.8、6.2.9和7.1修补此缺点。对于iOS 12.4.9版本号的iPhone机器设备,iPhone也公布了ios12.4.9以处理此问题。
“有目的性的在野进攻与近期消息的另一0 day类似 ,” Google危害剖析工作组责任人Shane Huntley说, “与一切大选总体目标不相干”。
“有目的性的在野进攻与近期消息的另一0 day漏洞类似” 。-Shane Huntley(@ShaneHuntley)2020年11月5日
该漏洞与近期在Chrome中透露的三个漏洞(CVE-2020-17087,CVE-2020-16009,CVE-2020-16010)和Windows OS(CVE-2020-17087)相关。
依据Google Project Zero工作组责任人Ben Hawkes的观点,三个iOS 0 day为:
- CVE-2020-27930 — iOS FontParser部件中的运行内存毁坏问题,它使网络攻击可以在iOS机器设备上远程控制运行代码,已根据改善键入认证解决了该问题。
- CVE-2020-27932 — iOS核心中的种类搞混问题,它使网络攻击可以应用核心级权利运作恶意程序,已根据改善情况解决解决了该问题。
- CVE-2020-27950 — iOS核心中的运行内存复位问题,网络攻击可利用此漏洞从iOS机器设备的核心运行内存中查找內容。
权威专家强调,这三个漏洞已被关系在一起,以彻底远程控制毁坏远程控制iPhone机器设备。
Google并未发布利用以上问题开展进攻的危害参加者以及总体目标的关键技术。
现阶段尚不清楚危害者是不是利用了有目的性的伤害或规模性战争中的漏洞。
文中翻譯自:https://securityaffairs.co/wordpress/110462/hacking/apple-ios-zero-days.html