苹果再次发布紧急安全补丁,iOS系统爆重大0day漏洞

苹果再次发布紧急安全补丁,iOS系统爆重大0day漏洞

苹果周一发布了针对 iOS 和 iPad 的安全更新,以解决一个重大零日漏洞,该漏洞正在被广泛利用,这是苹果公司自今年年初以来在其产品中解决的第 17 个零日漏洞。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,该漏洞号为 CVE-2021-30883 的零日漏洞涉及“IOMobileFrameBuffer”组件中的内存损坏问题,该问题可能允许应用程序以内核权限执行任意代码。关于该漏洞和攻击性质的技术细节目前仍未公开,以防止其他黑客在用户升级系统前将漏洞武器化。苹果公司表示,已通过改进内存处理解决了这个问题。

安全研究人员分享了更多细节和概念验证 (PoC) 漏洞利用,指出这个攻击面非常有趣,因为它可以从应用程序沙箱(因此非常适合越狱)和许多其他进程访问,使得它链中 LPE 漏洞的一个很好的候选者。

CVE-2021-30883 也是继 Apple 在 2021 年 7 月解决了类似的匿名报告的内存损坏问题 (CVE-2021-30807) 之后,第二个影响 IOMobileFrameBuffer 的零日漏洞,这增加了这两个缺陷可能相关的可能性。通过最新的修复,该公司仅在 2021 年就解决了创纪录的 17 个零日问题:

  • CVE-2021-1782(内核)- 恶意应用程序可能能够提升权限
  • CVE-2021-1870 (WebKit) – 远程攻击者可能会导致任意代码执行
  • CVE-2021-1871 (WebKit) – 远程攻击者可能会导致任意代码执行
  • CVE-2021-1879 (WebKit) – 处理恶意制作的 Web 内容可能导致通用跨站点脚本
  • CVE-2021-30657(系统首选项)- 恶意应用程序可能会绕过 Gatekeeper 检查
  • CVE-2021-30661(WebKit 存储) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30663 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30665 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30666 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30713(TCC 框架)- 恶意应用程序可能能够绕过隐私首选项
  • CVE-2021-30761 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30762 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30807 (IOMobileFrameBuffer) – 应用程序可能能够以内核权限执行任意代码
  • CVE-2021-30858 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30860 (CoreGraphics) – 处理恶意制作的 PDF 可能会导致任意代码执行
  • CVE-2021-30869 (XNU) – 恶意应用程序可能能够以内核权限执行任意代码

强烈建议苹果 iPhone 和 iPad 用户更新到最新版本(iOS 15.0.2 和 iPad 15.0.2)以避免受到以上安全漏洞的影响。

 

苹果再次发布紧急安全补丁,iOS系统爆重大0day漏洞

极牛网精选文章《苹果再次发布紧急安全补丁,iOS系统爆重大0day漏洞》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16637.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2021年10月9日 上午11:44
下一篇 2021年10月11日 下午5:21

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部