吳明宜快升級iOS 14.2!iOS 3項零時差漏洞已遭駭客鎖定
蘋果上周發佈安全更新以修補多項漏洞,包括3個已有攻擊行動的iOS零時差漏洞。
蘋果上周針對iOS、iPadOS、watchOS、及macOS安全更新,蘋果所修補的3項最嚴重的漏洞是由Google Project Zero抓漏團隊發現,並向蘋果通報。它們存在iOS/iPadOS作業系統核心及FontParser元件中,可能讓攻擊者遠端執行任意程式碼,並以核心權限跑惡意程式。
蘋果安全公告指出,已經發現有開採漏洞情形,呼籲用戶儘速升級最新版作業系統。修補程式包含在新版作業程式,包括iOS 12.4.9、iOS 14.2、iPadOS 14.2、watchOS 5.3.9、6.2.9和7.1以及macOS Catalina 10.15.7之中。
三項iOS零時差漏洞分別是CVE-2020-27930、CVE-2020-27932、及CVE-2020-27950。其中CVE-2020-27930為FrontParser函式庫的記憶體洩露問題,可在處理駭客傳送包含惡意字體的訊息觸發,而得以遠端執行程式碼。CVE-2020-27932為記憶體初始化問題,惡意應用程式可以核心權限執行任意程式碼。 CVE-2020-27950為類型混淆(Type Confusion)。類型混淆可能導致惡意應用程式洩露OS核心記憶體。iPadOS及watchOS與iOS採相同核心,故也會受到影響。
受到波及的iPhone及iPad產品包括iPhone 5s以上、iPod touch 6及7、iPad Air、iPad mini 2 以上、以及Apple Watch第1代以上的產品。
首先發現的Google 威脅分析小組研究人員Shane Huntley指出,針對這3項漏洞的開採行為,和最近揭露的零時差漏洞攻擊類似,和任何選舉無關。Google Project Zero之前還接連公佈了Chrome的Freetype字型渲染函式庫、V8 JavaScript渲染引擎及Android版Chrome沙箱逃逸漏洞(CVE-2020-15999、CVE-2020-16009 及CVE-2020-16010)、以及Windows零時差漏洞CVE-2020-17087。