Шрифты оказались заразными: три уязвимости нулевого дня в Google Chrome обнаружились в Apple iOS и macOS
Исследователи компании Google сообщили об обнаружении уязвимостей нулевого дня в операционных системах Apple. Найденные уязвимости имеют тот же характер, что и обнаруженные ранее уязвимости в Windows и Chrome. Злоумышленник через модифицированные шрифты может заставить систему выполнить вредоносный код. Apple внесла исправления в iOS 12.4.9, macOS Catalina 10.15.7, iPadOS 14.2 и watchOS 5.3.8, 6.2.9, 7.1 и рекомендует пользователям обновиться.
Традиционно сообщения об уязвимостях нулевого дня не сопровождаются подробностями, чтобы пользователи успели обновиться, а хакеры не смогли быстро создать новые эксплойты. Тем не менее, подобные уязвимости уже эксплуатируются хакерами, отчего о них сообщается с задержкой не более семи дней. Этих считанных дней компании Apple хватило, чтобы залатать дыры в своих операционных системах.
В частности, исправлены три уязвимости: CVE-2020-27930, CVE-2020-27932 и CVE-2020-27950. Уязвимость CVE-2020-27930 затрагивает iPhone 5s, iPhone 6 и 6 Plus, iPad Air, iPad mini 2 и 3 и iPod touch. Она кроется в компоненте FontParser и ведёт к выполнению произвольного кода злоумышленником.
Уязвимость CVE-2020-27932 также позволяет выполнить произвольный код с привилегиями ядра. Она затрагивает те же смартфоны и планшеты Apple, что и предыдущая уязвимость. Уязвимость CVE-2020-27950 позволяет вредоносному приложению раскрыть содержимое памяти ядра на тех же устройствах Apple.