蘋(píng)果已經(jīng)解決了三個(gè)iOS 0 day漏洞，這些漏洞在在野攻擊中經(jīng)常被利用，從而對(duì)iPhone，iPad和iPod等設(shè)備產(chǎn)生影響。

隨著iOS14.2的發(fā)布，零日漏洞已經(jīng)被IT蘋(píng)果巨頭修復(fù)，iOS用戶被建議立即安裝。

安全公告寫(xiě)道：“蘋(píng)果公司知道有報(bào)道稱(chēng)提到存在針對(duì)該問(wèn)題的攻擊。”

[[351652]]

蘋(píng)果還通過(guò)發(fā)布iPadOS 14.2和watchOS 5.3.8、6.2.9和7.1修復(fù)此缺陷。針對(duì)iOS 12.4.9版本的iPhone設(shè)備，蘋(píng)果也發(fā)布了ios12.4.9以解決此問(wèn)題。

“有針對(duì)性的在野攻擊與最近報(bào)道的另一0 day相似 ，” Google威脅分析小組負(fù)責(zé)人Shane Huntley說(shuō)， “與任何選舉目標(biāo)無(wú)關(guān)”。

“有針對(duì)性的在野攻擊與最近報(bào)道的另一0 day漏洞相似” 。-Shane Huntley(@ShaneHuntley)2020年11月5日

該漏洞與最近在Chrome中披露的三個(gè)漏洞(CVE-2020-17087，CVE-2020-16009，CVE-2020-16010)和Windows OS(CVE-2020-17087)有關(guān)。

根據(jù)Google Project Zero小組負(fù)責(zé)人Ben Hawkes的說(shuō)法，三個(gè)iOS 0 day為：

• CVE-2020-27930 — iOS FontParser組件中的內(nèi)存損壞問(wèn)題，它使攻擊者可以在iOS設(shè)備上遠(yuǎn)程運(yùn)行代碼，已通過(guò)改進(jìn)輸入驗(yàn)證解決了該問(wèn)題。
• CVE-2020-27932 — iOS內(nèi)核中的類(lèi)型混淆問(wèn)題，它使攻擊者可以使用內(nèi)核級(jí)特權(quán)運(yùn)行惡意代碼，已通過(guò)改進(jìn)狀態(tài)處理解決了該問(wèn)題。
• CVE-2020-27950 — iOS內(nèi)核中的內(nèi)存初始化問(wèn)題，攻擊者可利用此漏洞從iOS設(shè)備的內(nèi)核內(nèi)存中檢索內(nèi)容。

專(zhuān)家指出，這三個(gè)漏洞已被關(guān)聯(lián)在一起，以完全遠(yuǎn)程破壞遠(yuǎn)程iPhone設(shè)備。

Google尚未公布利用上述問(wèn)題進(jìn)行攻擊的威脅參與者及其目標(biāo)的技術(shù)細(xì)節(jié)。

目前尚不清楚威脅者是否利用了有針對(duì)性的攻擊或大規(guī)模戰(zhàn)役中的漏洞。

本文翻譯自：https://securityaffairs.co/wordpress/110462/hacking/apple-ios-zero-days.html