В обновлении ОС от Apple починили сразу три уязвимости нулевого дня

Несколько уязвимостей нулевого дня было исправлено в свежих обновлениях безопасности мобильных операционных систем (ОС) iOS, iPadOS и watchOS компанией Apple 5 ноября, сообщил американский портал ИТ-новостей ZDNet.

Уязвимости исправлены в ОС для смартфонов iPhone iOS 14.2 и 12.4.9, для планшетов — iPadOS 14.2, для «умных» часов — watchOS 5.3.8, 6.2.9 и 7.1. Уязвимости были выявлены при анализе атак на пользовательские устройства командой кибербезопасности компании Google Project Zero.

Найдено три уязвимости, характерные для всех трех мобильных ОС от Apple.

Первая получила код CVE-2020-27930. Она позволяет злоумышленнику удаленно запускать код и обусловлена ошибкой в компоненте ОС FontParser. Вторая — CVE-2020-27932 дает возможность повышать привилегии запущенного процесса на уровне ядра ОС. Третья — CVE-2020-27950 позволяет злоумышленнику получать данные из памяти ядра ОС.

Специалисты Project Zero считают, что все три уязвимости использовались злоумышленниками совместно в рамках одного эксплойта (специальная программа для автоматизации взлома).

Глава Project Zero Шейн Хантли также добавил, что недавно выявленные уязвимости в браузере Chrome и ОС Windows крайне похожи с исправленными уязвимостями в ОС от Apple.

Уязвимость нулевого дня (0-day) — это такая уязвимость, о которой становится публично известно раньше, чем появляется исправление безопасности. Термин значит, что у разработчиков есть ноль дней на исправление дефекта.