Специалисты компании Apple представили iOS версии 14.2, где исправили стразу три уязвимости нулевого, которые уже активно использовались хакерами. Сообщается, что проблемы представляли угрозу для iPhone 6s и новее, iPod touch 7-го поколения, iPad Air 2 и новее, а также iPad mini 4 и новее. Относительно обнаруженных экспертами атак пока неизвестно ничего.
Бен Хоукс, глава команды Google Project Zero, сотрудники которой и обнаружили связанные с уязвимостями атаки, рассказывает, что 0-day представляют собой:
- CVE-2020-27930— удаленное выполнение кода в компоненте iOS FontParser, что позволяет злоумышленникам удаленно запускать код на устройствах на базе iOS;
- CVE-2020-27932 — повышение привилегий в ядре iOS, что позволяет злоумышленникам запускать на устройстве вредоносный код с привилегиями на уровне ядра;
- CVE-2020-27950— утечка памяти в ядре iOS, которая позволяет злоумышленникам получать доступ к памяти ядра.
Ошибки так же были исправлены в составе iPadOS 14.2, watchOS версий 5.3.8, 6.2.9 и 7.1, а также патчи были портированы на старые iPhone через iOS 12.4.9.
Руководитель Google Threat Analysis Group (TAG) отмечает в Twitter, что эксплуатация этих уязвимостей нулевого дня была схожа с другими 0-day багами, которые специалисты обнаружили за последние две недели. Напомню, что за это время эксперты Google нашли и устранили три серьезных бага в браузере Chrome (1, 2, 3), а также помогли раскрыть связанную с ними уязвимость нулевого дня в Windows. Все эти проблемы так же находились под атаками, о которых пока ничего не известно.
Targeted exploitation in the wild similar to the other recently reported 0days. Not related to any election targeting.
— Shane Huntley (@ShaneHuntley) November 5, 2020