Apple выпустила несколько обновлений безопасности для исправления трех уязвимостей нулевого дня, которые были обнаружены как активно эксплуатируемые при реальных кибератаках.
Исправленные обновлениями для iOS, iPadOS, macOS и watchOS баги присутствуют в компоненте FontParser и ядре системы, позволяя противникам удаленно выполнять произвольный код и запускать вредоносные программы с привилегиями на уровне ядра.
Уязвимости были обнаружены командой безопасности Google Project Zero.
«Apple уведомлена что эксплойт для этих уязвимостей существует и активно применяется при реальных атаках» - сообщил производитель iPhone о трех уязвимостях, не давая никаких дополнительных деталей но призывая подавляющее большинство пользователей установить обновления.
В список затронутых устройств входят iPhone 5s и старше, iPod touch 6-го и 7-го поколения, iPad Air, iPad mini 2 и новее, а также Apple Watch Series 1 и старше.
Исправления доступны в версиях iOS 12.4.9 и 14.2, iPadOS 14.2, WatchOS 5.3.9, 6.2.9 и 7.1, а также в качестве дополнительного обновления для MacOS Catalina 10.15.7.
В соответствии с объявлением безопасности Apple уязвимости:
- CVE-2020-27930: Проблема повреждения памяти в библиотеке FontParser, которая позволяет удаленно выполнять код при обработке вредоносного шрифта.
- CVE-2020-27932: Проблема инициализации памяти, которая позволяет вредоносному приложению выполнять произвольный код с привилегиями ядра.
- CVE-2020-27950: Проблема путаницы типов, которая позволяет вредоносному приложению раскрывать память ядра.
«Целенаправленная эксплуатация при кибератаках этих, как и других о которых недавно сообщалось 0-day уязвимостей» - сообщил Шейн Хантли, директор Google's Threat Analysis Group. «не связана с таргетированными атаками на выборы в США».
Обнародование этих багов является последним в серии уязвимостей нулевого дня, о которых команда Google Project Zero сообщила с 20 октября. Сначала был выявлен баг в Chrome в библиотеке шрифтового рендеринга Freetype (CVE-2020-15999), затем 0-day в Windows (CVE-2020-17087), за которым последовали еще два в Chrome и его варианте для Android (CVE-2020-16009 и CVE-2020-16010).
Ожидается, что патч для уязвимости Windows будет выпущен 10 ноября в рамках «патча вторника» этого месяца.
В то время как ожидается более подробная информация о том, были ли эксплоиты использованы одной и той же хакерской группой, рекомендуется всем пользователям срочно обновить свои устройства до последних версий для снижения соответствующих рисков.
Перевод сделан со статьи: https://thehackernews.com
