Af Eskil Sørensen, 09/11/20
Listen over berørte enheder inkluderer iPhone 6 og nyere, iPod touch 7. generation, iPad Air 2 og nyere og iPad mini 4 og nyere.
0-dagssårbarhederne er blevet behandlet af Apple med frigivelsen af iOS 14.2.
Kernel og FontParser sårbarheder
En af sårbarhederne er en fjernafvikling af kode (RCE), der har nummer CVE-2020-27930. Den udløses af et problem med 'memory corruption' , når man behandler en ondsindet skrifttype af FontParser-biblioteket. Den anden iOS 0-dagssårbarhed er en 'kernel memory leak' (CVE-2020-27950), hvor ondsindede applikationer får adgang til kernehukommelsen.
Den tredje aktivt udnyttede fejl er en eskaleringsfejl på kerneprivilegierne (CVE-2020-27932), der gør det muligt for ondsindede applikationer at afvikle vilkårlig kode med kernerettigheder.
Det var Googles Project Zero, der opdagede og rapporterede sikkerhedsproblemerne til Apples sikkerhedsteam.
Alle tre sårbarheder menes at have været brugt sammen som en del af en udnyttelseskæde, der gør det muligt for hackere at kompromittere iPhone-enheder eksternt.
Links:
https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/
https://www.zdnet.com/article/apple-fixes-three-ios-zero-days-exploited-in-the-wild/