Appleは最近iOSのセキュリティ修正をリリースしました, iPadOS, watchOS, およびmacOS, GoogleのProjectZeroによって報告された脆弱性への対処. 同社のセキュリティアドバイザリによると, 欠陥のうち3つは、Project Zeroによって報告され、実際に悪用されています。.
これらの欠陥は、リモートでコードが実行されるバグです。 (CVE-2020-27930), カーネルメモリリーク (CVE-2020-27950), およびカーネル特権の昇格 (CVE-2020-27932). Appleデバイスの所有者は、できるだけ早くソフトウェアを更新する必要があります. また、「Appleは開示していません。, 話し合います, または、調査が行われ、パッチまたはリリースが一般に利用可能になるまで、セキュリティの問題を確認します。」
CVE-2020-27930
この重大な脆弱性は、バージョンまでのmacOSに存在します 10.15.7. この欠陥は、FontParserコンポーネントの不明な処理に影響します. 脆弱性データベースによると, その操作はメモリの破損につながる可能性があります. さらに, この欠陥は悪用するのは簡単で、リモートで悪用される可能性があります.
CVE-2020-27950
これは、AppleiOSおよびiPadOSまでの問題のあるカーネルの脆弱性です。 14.1, 情報開示につながる可能性があります. これまでに知られていることは、欠陥の悪用は簡単に見えるということです, そしてそれはローカルで起こるべきです. 攻撃には単一の認証が必要です. この脆弱性は、悪意のあるアプリがカーネル権限で任意のコードを実行するのにも役立ちます.
CVE-2020-27932
このカーネルの脆弱性は、最大でAppleiOSおよびiPadOSに影響を与えるようです。 14.1, だけでなく、ApplewatchOSまで 5.3.8/6.2.8/7.0.3. 欠陥についてはほとんど知られていない, その影響はまだ不明です.
でも, セキュリティ研究者は、これらの欠陥が連鎖してユーザーのデバイスを乗っ取る可能性があると警告しています. ユーザーをだまして特定のアクションを実行させることができます, ドキュメントを開くなど, メッセージ, または悪意のあるフォントをロードするWebページ. これにより、カーネル権限でコードが実行される可能性があります.
対応するアップデートがiOSでリリースされました 14.2 およびiPadOS 14.2, watchOS 7.1, マックOS 10.15.7, およびtvOS 14.2. 同社はiOSも発行した 12.4.9 サポートされなくなった古いiPhoneモデルの場合, iPhoneに戻る 5. 詳細については, あなたは読むことができます Appleの公式速報.
今年の4月に, セキュリティ研究者のBhavukJainが報告しました サインインwithApple機能のゼロデイ脆弱性 サードパーティのアプリケーションに影響を与えた, 独自のセキュリティ対策を実施せずに使用する.
ジャイナ教によると, Appleのゼロデイ攻撃は、「被害者が有効なApple IDを持っているかどうかに関係なく、そのサードパーティアプリケーションのユーザーアカウントの完全なアカウント乗っ取りをもたらす可能性があります。」
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: