Необходимо обновить устройства iOS из-за 3 эксплуатируемых уязвимостей 0-дня

В четверг Apple выпустила несколько обновлений безопасности для исправления трех уязвимостей нулевого дня, которые, как оказалось, уже активно используются.

Развернутые, как часть обновлений iOS, iPadOS, macOS и watchOS, недостатки находятся в компоненте FontParser и ядре, что позволяет злоумышленникам удаленно выполнять произвольный код и запускать вредоносные программы с привилегиями уровня ядра.

Обнаружила угрозы группа безопасности Google Project Zero и осведомила о них компанию Apple, чтобы подавляющее количество пользователей установили обновления как можно раньше.

В список затронутых устройств входят iPhone 5s и новее, iPod touch 6 и 7 поколения, iPad Air, iPad mini 2 и новее, а также Apple Watch Series 1 и новее. А исправления доступны в версиях iOS 12.4.9 и 14.2, iPadOS 14.2, watchOS 5.3.9, 6.2.9 и 7.1, а также в качестве дополнительного обновления для macOS Catalina 10.15.7.

Согласно бюллетеню по безопасности Apple, к недостаткам относятся:

• CVE-2020-27930: проблема повреждения памяти в библиотеке FontParser, которая позволяет удаленно выполнять код при обработке злонамеренно созданного шрифта.
• CVE-2020-27932: проблема инициализации памяти, которая позволяет вредоносному приложению выполнять произвольный код с привилегиями ядра.
• CVE-2020-27950: проблема путаницы типов, которая позволяет вредоносному приложению раскрыть память ядра.

Раскрытие является последним в череде нулевых дней, о которых Project Zero сообщил с 20 октября. Патч для нулевого дня Windows будет выпущен завтра, 10-го ноября, в рамках вторника патчей этого месяца.

Хотя ожидается более подробная информация о том, злоупотреблял ли тот же злоумышленник нулевым днем, пользователям рекомендуется обновить свои устройства до последних версий, чтобы снизить риск, связанный с недостатками.