Apple解决了三个iOS0-day漏洞,这些漏洞在野外攻击中经常被利用,影响iPhone、iPad和iPod等设备。随着iOS14.2的发布,该零日漏洞已被IT苹果巨头修复,建议iOS用户立即安装。“Apple知道针对此问题的攻击报告,”安全公告中写道。Apple还通过发布iPadOS14.2和watchOS5.3.8、6.2.9和7.1修复了该缺陷。对于iOS12.4.9的iPhone设备,苹果也发布了ios12.4.9来解决这个问题。谷歌威胁分析小组负责人ShaneHuntley表示:“有针对性的野外攻击与最近报道的另一起0day攻击类似,与任何选举目标无关。”“有针对性的野外攻击类似于最近报道的另一个0-day攻击”。—ShaneHuntley(@ShaneHuntley)2020年11月5日此漏洞与Chrome(CVE-2020-17087、CVE-2020-16009、CVE-2020-16010)和Windows操作系统(CVE-2020-17087)中最近披露的三个漏洞一致)有关的。根据GoogleProjectZero小组负责人BenHawkes的说法,这三个iOS0日是:CVE-2020-27930——iOSFontParser组件中的内存损坏问题已得到改进,该问题允许攻击者在iOS设备上远程运行代码输入验证解决了问题。CVE-2020-27932—iOS内核中的一个类型混淆问题可能允许攻击者以内核级权限运行恶意代码,此问题已通过改进状态处理得到解决。CVE-2020-27950-iOS内核中的内存初始化问题可能允许攻击者从iOS设备的内核内存中检索内容。专家指出,这三个漏洞已经联系在一起,可以完全远程破坏远程iPhone设备。谷歌尚未公布威胁参与者及其利用上述问题的目标的技术细节。目前尚不清楚威胁行为者是否在有针对性的攻击或大规模活动中利用了漏洞。本文翻译自:https://securityaffairs.co/wordpress/110462/hacking/apple-ios-zero-days.html
