苹果于周四(11/5)发布iOS 14.2与iPadOS 14.2,除了添加超过100个表情符号,并提供新的壁纸之外,备受关注的是该版本修补了超过20个安全漏洞,其中更有3个已被黑客开采,它们分别是CVE-2020-27930、CVE-2020-27950与CVE-2020-27932,皆由Google Project Zero所提报。
其中,CVE-2020-27930藏匿在FontParser中,属于内存损毁漏洞,当FontParser处理恶意制作的字体时,可能允许黑客执行任意程序,苹果则借由改善输入验证来修补该漏洞。CVE-2020-27950则为核心漏洞,是个内存初始化问题,黑客可借由恶意的应用程序来披露核心内存。
波及iPhone 6s及之后、第七代iPod touch、iPad Air 2及之后,以及iPad mini 4与之后的苹果设备。CVE-2020-27932也为核心漏洞,黑客借由恶意程序可以核心权限执行任意程序。
上述3个漏洞皆已遭到黑客开采,且都是由Google Project Zero所提报,同时影响iPhone 6s及之后、第七代iPod touch、iPad Air 2及之后,以及iPad mini 4与之后的设备,不过不管是苹果或Google Project Zero都未公布开采或攻击细节。