快升級iOS 14.2!iOS 3項零時差漏洞已遭駭客鎖定

蘋果上周發佈安全更新以修補多項漏洞,包括3個已有攻擊行動的iOS零時差漏洞。

蘋果上周發佈安全更新以修補多項漏洞,包括3個已有攻擊行動的iOS零時差漏洞。

蘋果上周針對iOS、iPadOS、watchOS、及macOS安全更新,蘋果所修補的3項最嚴重的漏洞是由Google Project Zero抓漏團隊發現,並向蘋果通報。它們存在iOS/iPadOS作業系統核心及FontParser元件中,可能讓攻擊者遠端執行任意程式碼,並以核心權限跑惡意程式。

蘋果安全公告指出,已經發現有開採漏洞情形,呼籲用戶儘速升級最新版作業系統。修補程式包含在新版作業程式,包括iOS 12.4.9、iOS 14.2、iPadOS 14.2、watchOS 5.3.9、6.2.9和7.1以及macOS Catalina 10.15.7之中。

三項iOS零時差漏洞分別是CVE-2020-27930、CVE-2020-27932、及CVE-2020-27950。其中CVE-2020-27930為FrontParser函式庫的記憶體洩露問題,可在處理駭客傳送包含惡意字體的訊息觸發,而得以遠端執行程式碼。CVE-2020-27932為記憶體初始化問題,惡意應用程式可以核心權限執行任意程式碼。 CVE-2020-27950為類型混淆(Type Confusion)。類型混淆可能導致惡意應用程式洩露OS核心記憶體。iPadOS及watchOS與iOS採相同核心,故也會受到影響。

受到波及的iPhone及iPad產品包括iPhone 5s以上、iPod touch 6及7、iPad Air、iPad mini 2 以上、以及Apple Watch第1代以上的產品。

首先發現的Google 威脅分析小組研究人員Shane Huntley指出,針對這3項漏洞的開採行為,和最近揭露的零時差漏洞攻擊類似,和任何選舉無關。Google Project Zero之前還接連公佈了Chrome的Freetype字型渲染函式庫、V8 JavaScript渲染引擎及Android版Chrome沙箱逃逸漏洞(CVE-2020-15999、CVE-2020-16009 及CVE-2020-16010)、以及Windows零時差漏洞CVE-2020-17087。

來源:The Hacker News

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416