苹果发布了三款被谷歌发现的iOS 0天被积极利用的补丁
苹果最近发布了带有补丁的iOS 14.2,该补丁针对三个零日漏洞,影响了多个iPhone,iPad和iPod设备。
该公司当时在一份安全公告中表示,他们正在描述这三个缺陷。 “ Apple知道有报道称,存在针对该问题的攻击行为”。
三个零日漏洞及其原因:
- 远程执行代码漏洞(CVE-2020-27930)-触发内存损坏问题,该问题是由FontParser库处理恶意制作的字体时出现的。
- 内核泄漏(CVE-2020-27950)-它引起内存启动问题,并允许恶意应用程序进入内核内存。
- 内核特权升级漏洞(CVE-2020-27932)-这是一种混乱的问题。恶意软件可以利用内核特权执行任意代码。
受影响的Apple设备包括iPhone 6s和更高版本,iPod touch第7代,iPad Air 2和更高版本以及iPad mini 4和更高版本。该列表还包括运行10.15.7之前的MacOS Catalina版本的Mac,运行iOS 14.2之前的iOS版本的iPad,运行watchOS 7.1的Apple手表,运行watchOS 6.2.9,watchOS 5.3.9的Apple TV和运行TVOS之前版本的Apple TV电视操作系统14.2。
零号项目Google的日常狩猎团队向Apple报告了有关安全问题的信息。研究人员还在最近两周内披露或修补了另外四个零日。其中两个包括FreeType文本呈现库中的Chrome零日漏洞CVE-2020-15999和WebAssembly和JavaScript引擎中的CVE-2020-16009。
第三个是在Android UI中堆缓冲区溢出时引起的CVE-2020-16010。周一发布的适用于Android的Chrome浏览器86.0.4240.185已解决。
零项目还披露了特权提升(EoP)漏洞。 Microsoft应该在本月的补丁中提供此Windows零日补丁。