苹果上次更新 iOS 12 是在 2020 年 7 月中旬，当时还没有已知的安全漏洞——这次更新只是为了修复最严重的错误，以便苹果的开发者可以停止维护该版本。然而，11 月 7 日，iOS 12 新版本与 macOS Catalina，iOS 14 和 tvOS 14。

Apple 的安全说明中有四个 CVE（常见漏洞和暴露）条目，其中第一个条目比危险更烦人：FaceTime 群组通话可能会在没有意识到的情况下不由自主地发送视频。

另外三个漏洞涉及内核和字体解析器，也可以在 macOS Catalina、iOS 和 iPadOS 14、watchOS 7.1、watchOS 5.3.9 和 watchOS 6.2.9 的更新中找到。 tvOS 14.2 没有受到这些漏洞的威胁。阅读： Apple 更新 iPhone、iPad、HomePod、Apple TV 和 Watch

就这两个内核问题而言，苹果写道，他们知道有报告称这些漏洞已经被用于”野外”攻击，即针对真正的最终用户，因此这些是名副其实的零日漏洞。

顺便说一句，Google 的安全团队（Google Project Zero）发现了所有三个错误，并将其报告给了 Apple。 Chrome 和 Android 中也发现了相同的错误。

苹果公司已经修复了零号计划报告的三个问题，这些问题正在被广泛利用。 CVE-2020-27930 (RCE)、CVE-2020-27950（内存泄漏）和 CVE-2020-27932（内核权限提升）。安全公告可在此处获取：https://t.co/4OIReajIp6

— Ben Hawkes (@benhawkes) 2020 年 11 月 5 日

目前尚不清楚有多少 iOS 用户可能受到所发现的安全漏洞的攻击。<​​/p>

FontParser 漏洞允许远程执行任何代码，理论上可以通过电子邮件、消息或聊天来攻击 iPhone，而攻击者却浑然不觉。

安全公司 Zecops 也确认其已登记主要针对 Chrome 的攻击。这些活动已经持续了至少两周。 Apple 除了 iOS 12 之外还更新了 watchOS 5 和 6，这一事实表明零日差距非常严重。

野外有针对性的利用与最近报告的其他 0day 类似。与任何选举目标无关。

—Shane Huntley (@ShaneHuntley) 2020 年 11 月 5 日

顺便说一句，iOS 13 尚未更新，如果您仍在使用旧版本，我们建议您切换到 iOS 14.2。

我们有一篇单独的文章介绍了最佳 iPhone 安全提示。

本文最初发表于麦克韦尔特。凯伦·哈斯拉姆翻译​​。

赞微海报分享