Appleは、Googleが発見した3つの積極的に悪用されたiOSのゼロデイ攻撃のパッチをリリースしました

Appleは最近、いくつかのIPhone、IPad、およびiPodデバイスに影響を与える3つのゼロデイ脆弱性のパッチを含むiOS14.2をリリースしました。

同社は、3つの欠陥について説明しているときに、セキュリティアドバイザリで述べています。 「Appleは、この問題のエクスプロイトが実際に存在するという報告を認識しています」。

3つのゼロデイ脆弱性とその原因:

  • リモートコード実行の脆弱性(CVE-2020-27930)-FontParserライブラリによって悪意のある細工されたフォントを処理するときに発生する、メモリ破損の問題を引き起こします。
  • カーネルリーク(CVE-2020-27950)-メモリ開始の問題を引き起こし、悪意のあるアプリケーションがカーネルメモリに侵入する可能性があります。
  • カーネル特権昇格の欠陥(CVE-2020-27932)-これは一種の混乱の問題です。マルウェアがカーネル権限で任意のコードを実行することを可能にします。

影響を受けるAppleデバイスには、iPhone 6s以降、iPod touch第7世代、iPad Air 2以降、およびiPad mini4以降が含まれます。このリストには、10.15.7より前のMacOS Catalinaバージョンを実行しているMac、iOS14.2より前のiOSバージョンのIpad、watchOS 7.1より前のAppleWatch、watchOS 6.2.9、watchOS 5.3.9、およびTVOSバージョンより前のAppleTVも含まれています。 tvOS14.2。

Project Zero Googleの日中の狩猟チームは、セキュリティの問題についてAppleに報告しました。そこで研究者たちはまた、過去2週間の間に他の4つのゼロデイ攻撃を開示またはパッチを当てました。そのうちの2つには、FreeTypeテキストレンダリングライブラリのChromeゼロデイ欠陥CVE-2020-15999と、WebAssemblyおよびJavaScriptエンジンのCVE-2020-16009が含まれます。

3つ目は、AndroidUIでヒープバッファオーバーフローが発生したときに発生したCVE-2020-16010です。月曜日にリリースされたChromefor Android86.0.4240.185で対処されました。

プロジェクトゼロでは、特権の昇格(EoP)の脆弱性も明らかになりました。このWindowsゼロデイのパッチは、今月のパッチとともにMicrosoftから提供される必要があります。