iOS 14.2與iPadOS 14.2修補了已被駭客開採的CVE-2020-27930、CVE-2020-27950與CVE-2020-27932漏洞
蘋果於周四(11/5)釋出iOS 14.2與iPadOS 14.2,除了新增逾100個表情符號,並提供新的桌布之外,備受關注的是該版本修補了逾20個安全漏洞,其中更有3個已被駭客開採,它們分別是CVE-2020-27930、CVE-2020-27950與CVE-2020-27932,皆由Google Project Zero所提報。
其中,CVE-2020-27930藏匿在FontParser中,屬於記憶體損毀漏洞,當FontParser處理惡意製作的字體時,可能允許駭客執行任意程式,蘋果則藉由改善輸入驗證來修補該漏洞。CVE-2020-27950則為核心漏洞,是個記憶體初始化問題,駭客可藉由惡意的應用程式來揭露核心記憶體。
波及iPhone 6s及之後、第七代iPod touch、iPad Air 2及之後,以及iPad mini 4與之後的蘋果裝置。CVE-2020-27932亦為核心漏洞,駭客藉由惡意程式可以核心權限執行任意程式。
上述3個漏洞皆已遭到駭客開採,且都是由Google Project Zero所提報,同時影響iPhone 6s及之後、第七代iPod touch、iPad Air 2及之後,以及iPad mini 4與之後的裝置,不過不管是蘋果或Google Project Zero都未公布開採或攻擊細節。
