谷歌旗下的安全團隊Project Zero近日更新博文，表示在2020年已經有證據表明黑客成功利用7個零日漏洞入侵Android、Windows和iOS設備。這些漏洞都是通過水坑攻擊（watering hole attack）方式提供的，惡意代碼被插入到數十個面向特定目標和人群的網站。

黑客實施的一些代碼和策略引起了谷歌安全團隊的特別關注：“雖然所有平台都部署了混淆（obfuscation）和反分析檢查，但是每個平台的混淆是不同的。例如，iOS 是唯一存在暫時密鑰(Ephemeral key)加密漏洞的平台，意味著這些漏洞無法單獨從數據包轉儲中恢復，而是需要我們這邊的主動MITM 來即時重寫漏洞”。

這些漏洞涵蓋的問題範圍相當廣泛–從現代JIT 漏洞到大量的字體bug 緩存。總的來說，每個漏洞本身都顯示出對漏洞開發和被利用的漏洞的專業理解。在Chrome Freetype 零日的案例中，Project Zero 表示利用方法很新穎。想出如何觸發iOS 內核權限漏洞的過程本來就不簡單。混淆方法五花八門，摸索起來費時費力。

7個漏洞分別為

● CVE-2020-15999  – Chrome Freetype heap buffer overflow

● CVE-2020-17087  – Windows heap buffer overflow in cng.sys

● CVE-2020-16009  – Chrome type confusion in TurboFan map deprecation

● CVE-2020-16010  – Chrome for Android heap buffer overflow

● CVE-2020-27930  – Safari arbitrary stack read/write via Type 1 fonts

● CVE-2020-27950  – iOS XNU kernel memory disclosure in mach message trailers

● CVE-2020-27932  – iOS kernel type confusion with turnstiles