蘋果已經(jīng)解決了三個iOS 0 day漏洞，這些漏洞在在野攻擊中經(jīng)常被利用，從而對iPhone，iPad和iPod等設(shè)備產(chǎn)生影響。

隨著iOS14.2的發(fā)布，零日漏洞已經(jīng)被IT蘋果巨頭修復(fù)，iOS用戶被建議立即安裝。

安全公告寫道：“蘋果公司知道有報道稱提到存在針對該問題的攻擊。”

[[351652]]

蘋果還通過發(fā)布iPadOS 14.2和watchOS 5.3.8、6.2.9和7.1修復(fù)此缺陷。針對iOS 12.4.9版本的iPhone設(shè)備，蘋果也發(fā)布了ios12.4.9以解決此問題。

“有針對性的在野攻擊與最近報道的另一0 day相似 ，” Google威脅分析小組負(fù)責(zé)人Shane Huntley說， “與任何選舉目標(biāo)無關(guān)”。

“有針對性的在野攻擊與最近報道的另一0 day漏洞相似” 。-Shane Huntley(@ShaneHuntley)2020年11月5日

該漏洞與最近在Chrome中披露的三個漏洞(CVE-2020-17087，CVE-2020-16009，CVE-2020-16010)和Windows OS(CVE-2020-17087)有關(guān)。

根據(jù)Google Project Zero小組負(fù)責(zé)人Ben Hawkes的說法，三個iOS 0 day為：

• CVE-2020-27930 — iOS FontParser組件中的內(nèi)存損壞問題，它使攻擊者可以在iOS設(shè)備上遠(yuǎn)程運行代碼，已通過改進(jìn)輸入驗證解決了該問題。
• CVE-2020-27932 — iOS內(nèi)核中的類型混淆問題，它使攻擊者可以使用內(nèi)核級特權(quán)運行惡意代碼，已通過改進(jìn)狀態(tài)處理解決了該問題。
• CVE-2020-27950 — iOS內(nèi)核中的內(nèi)存初始化問題，攻擊者可利用此漏洞從iOS設(shè)備的內(nèi)核內(nèi)存中檢索內(nèi)容。

專家指出，這三個漏洞已被關(guān)聯(lián)在一起，以完全遠(yuǎn)程破壞遠(yuǎn)程iPhone設(shè)備。

Google尚未公布利用上述問題進(jìn)行攻擊的威脅參與者及其目標(biāo)的技術(shù)細(xì)節(jié)。

目前尚不清楚威脅者是否利用了有針對性的攻擊或大規(guī)模戰(zhàn)役中的漏洞。

本文翻譯自：https://securityaffairs.co/wordpress/110462/hacking/apple-ios-zero-days.html