Apple 於 11 月 5 日發表發表最新版本的 iOS、iPad OS 14.2 與 watch OS 7.1，除例行的新增功能與錯誤修復外，更解決了三個可讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞。

新版本作業系統解決的問題，包括在字體處理模組 FontParser 與核心的錯誤；這些錯誤可導致駭侵者以核心等級權限遠端執行任意程式碼。

根據 Apple 的更新說說明文件指出，這三個 0-day 漏洞分別如下：

1. CVE-2020-27930：存於 FontParser 的記憶體崩潰錯誤，駭侵者可以用特製的字型檔引發此錯誤，進而遠端執行惡意程式碼；
2. CVE-2020-27932：記憶體啟始過程中發生的錯誤，可讓駭侵者以核心等級權限執行任意程式碼；
3. CVE-2020-27950：程式碼型別的錯誤，惡意程式可利用此錯誤竊取核心記憶體內容。

這三個錯誤是由 Google 旗下的資安團隊 Project Zero 於今年十月下旬發現，並向 Apple 通報；受影響的裝置包括 iPhone 5s 與後續版本、iPod Touch 第六代與第七代、iPad Air、iPad mini 2 與後續版本、Apple Watch 所有版本；上述 Apple 裝置與產品之用戶，應立即使用內建的軟體更新功能，更新至最新版本作業系統，以降低遭駭侵者利用這批漏洞發動攻擊的資安風險。

• CVE編號：CVE-2020-27930、CVE-2020-27932、CVE-2020-27950
• 影響產品： iPhone 5s 與後續版本、iPod Touch 第六代與第七代、iPad Air、iPad mini 2 與後續版本、Apple Watch 所有版本。
• 解決方案：使用內建的軟體更新功能，更新至最新版本作業系統。

• 參考連結

https://support.apple.com/en-us/HT201222

https://support.apple.com/en-us/HT211929

https://thehackernews.com/2020/11/update-your-ios-devices-now-3-actively.html

• 【更多資訊產品漏洞】請參考 https://www.twcert.org.tw/newepaper/lp-67-3.html