苹果周一为iOS、iPad和macOS推出了紧急安全漏洞补丁更新,以解决据称可能已被大规模利用的0day漏洞,这是苹果自今年年初以来修补的第 13 个此类漏洞。
这些更新是在公司向公众发布 iOS 14.7、iPadOS 14.7 和 macOS Big Sur 11.5 后不到一周发布的,修复了IOMobileFrameBuffer 组件中的内存损坏问题 ( CVE-2021-30807 ),该组件是用于管理的内核扩展屏幕帧缓冲区,可能会被滥用以使用内核权限执行任意代码。
该公司表示,它通过改进内存处理解决了这个问题,并指出它“知道有报告称这个问题可能已被积极利用。” 通常情况下,尚未披露有关该缺陷的其他详细信息,以防止将漏洞武器化以进行其他攻击。苹果公司感谢一位匿名研究人员发现并报告了该漏洞。
更新的时机也引发了关于 NSO 集团的Pegasus 软件是否利用了零日漏洞的问题,该软件已成为一系列调查报告的焦点,这些报告揭露了间谍软件工具如何变成记者、人权活动家的手机。和其他人进入便携式监视设备,授予对存储在其中的敏感信息的完全访问权限。
CVE-2021-30807 也是苹果今年解决的第 13 个零日漏洞,包括——
- CVE-2021-1782(内核)- 恶意应用程序可能能够提升权限
- CVE-2021-1870 (WebKit) – 远程攻击者可能会导致任意代码执行
- CVE-2021-1871 (WebKit) – 远程攻击者可能会导致任意代码执行
- CVE-2021-1879 (WebKit) – 处理恶意制作的 Web 内容可能导致通用跨站点脚本
- CVE-2021-30657(系统首选项)- 恶意应用程序可能会绕过 Gatekeeper 检查
- CVE-2021-30661(WebKit 存储) – 处理恶意制作的 Web 内容可能会导致任意代码执行
- CVE-2021-30663 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
- CVE-2021-30665 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
- CVE-2021-30666 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
- CVE-2021-30713(TCC 框架)- 恶意应用程序可能能够绕过隐私首选项
- CVE-2021-30761 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
- CVE-2021-30762 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
鉴于概念验证 (PoC) 漏洞的公开可用性,强烈建议用户迅速将其设备更新到最新版本,以降低与该缺陷相关的风险。
极牛网精选文章《Apple发布了针对iPhone和iPad等设备的紧急0day漏洞补丁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15576.html