Apple 發表 iOS、iPad OS 14.2 與 watchOS 7.1，修補 3 個 0-day 漏洞，用戶應立即更新

2020 / 11 / 12

編輯部

Apple 發表 iOS、iPad OS 14.2 與 watchOS 7.1，修補 3 個 0-day 漏洞，用戶應立即更新

Apple 於 11 月 5 日發表發表最新版本的 iOS、iPad OS 14.2 與 watch OS 7.1，除例行的新增功能與錯誤修復外，更解決了三個可讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞。

新版本作業系統解決的問題，包括在字體處理模組 FontParser 與核心的錯誤；這些錯誤可導致駭侵者以核心等級權限遠端執行任意程式碼。

根據 Apple 的更新說說明文件指出，這三個 0-day 漏洞分別如下：

CVE-2020-27930：存於 FontParser 的記憶體崩潰錯誤，駭侵者可以用特製的字型檔引發此錯誤，進而遠端執行惡意程式碼；
CVE-2020-27932：記憶體啟始過程中發生的錯誤，可讓駭侵者以核心等級權限執行任意程式碼；
CVE-2020-27950：程式碼型別的錯誤，惡意程式可利用此錯誤竊取核心記憶體內容。

這三個錯誤是由 Google 旗下的資安團隊 Project Zero 於今年十月下旬發現，並向 Apple 通報；受影響的裝置包括 iPhone 5s 與後續版本、iPod Touch 第六代與第七代、iPad Air、iPad mini 2 與後續版本、Apple Watch 所有版本；上述 Apple 裝置與產品之用戶，應立即使用內建的軟體更新功能，更新至最新版本作業系統，以降低遭駭侵者利用這批漏洞發動攻擊的資安風險。

CVE編號：CVE-2020-27930、CVE-2020-27932、CVE-2020-27950
影響產品： iPhone 5s 與後續版本、iPod Touch 第六代與第七代、iPad Air、iPad mini 2 與後續版本、Apple Watch 所有版本。
解決方案：使用內建的軟體更新功能，更新至最新版本作業系統。

本文轉載自TWCERT/CC台灣電腦網路危機處理暨協調中心。

FontParser CVE-2020-27930 CVE-2020-27932 CVE-2020-27950 iPhone 5s