吳明宜蘋果上周發佈安全更新以修補多項漏洞,包括 3 個已有攻擊行動的 iOS 零時差漏洞。
蘋果上周針對 iOS 、 iPadOS 、 watchOS 、及 macOS 安全更新,蘋果所修補的 3 項最嚴重的漏洞是由 Google Project Zero 抓漏團隊發現,並向蘋果通報。它們存在 iOS/iPadOS 作業系統核心及 FontParser 元件中,可能讓攻擊者遠端執行任意程式碼,並以核心權限跑惡意程式。
蘋果安全公告指出,已經發現有開採漏洞情形,呼籲用戶儘速升級最新版作業系統。修補程式包含在新版作業程式,包括 iOS 12.4.9 、 iOS 14.2 、 iPadOS 14.2 、 watchOS 5.3.9 、 6.2.9 和 7.1 以及 macOS Catalina 10.15.7 之中。
三項 iOS 零時差漏洞分別是 CVE-2020-27930 、 CVE-2020-27932 、及 CVE-2020-27950 。其中 CVE-2020-27930 為 FrontParser 函式庫的記憶體洩露問題,可在處理駭客傳送包含惡意字體的訊息觸發,而得以遠端執行程式碼。 CVE-2020-27932 為記憶體初始化問題,惡意應用程式可以核心權限執行任意程式碼。 CVE-2020-27950 為類型混淆(Type Confusion)。類型混淆可能導致惡意應用程式洩露 OS 核心記憶體。 iPadOS 及 watchOS 與 iOS 採相同核心,故也會受到影響。
受到波及的 iPhone 及 iPad 產品包括 iPhone 5s 以上、 iPod touch 6 及 7 、 iPad Air 、 iPad mini 2 以上、以及 Apple Watch 第 1 代以上的產品。
首先發現的 Google 威脅分析小組研究人員 Shane Huntley 指出,針對這 3 項漏洞的開採行為,和最近揭露的零時差漏洞攻擊類似,和任何選舉無關。 Google Project Zero 之前還接連公佈了 Chrome 的 Freetype 字型渲染函式庫、 V8 JavaScript 渲染引擎及 Android 版 Chrome 沙箱逃逸漏洞(CVE-2020-15999 、 CVE-2020-16009 及 CVE-2020-16010)、以及 Windows 零時差漏洞 CVE-2020-17087 。