近日,苹果这周发布了重要的安全补丁,以解决 iOS 12.5.3 中的两个零日漏洞,据称这些漏洞正在被黑客广泛利用。
最新更新iOS 12.5.4修复了三个安全漏洞,包括ASN.1 解码器中的内存损坏问题(CVE-2021-30737) 以及与 WebKit 浏览器引擎相关的两个漏洞,这些漏洞可能被滥用以实现远程代码执行
CVE-2021-30761 - 一个内存损坏问题,可被利用在处理恶意制作的 Web 内容时获得任意代码执行。该缺陷已通过改进状态管理得到解决。
CVE-2021-30762 - 一个释放后使用问题,可被利用在处理恶意制作的 Web 内容时获得任意代码执行。该缺陷已通过改进内存管理解决。
CVE-2021-30761 和 CVE-2021-30762 都是匿名报告给 Apple 的,这家总部位于库比蒂诺的公司在其公告中表示,它知道这些漏洞“可能已被积极利用”的报告。通常情况下,Apple 没有透露任何关于攻击性质、可能成为目标的受害者或可能滥用它们的威胁行为者的任何细节。
然而,显而易见的一件事是,主动利用尝试针对的是旧设备的所有者,例如 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)。此举反映了 Apple 于 5 月 3 日推出的类似修复程序,以修复针对同一组设备的 WebKit 中的缓冲区溢出漏洞 (CVE-2021-30666)。
防止数据泄露
除了上述两个漏洞,自今年年初以来,Apple 总共修补了 12 个影响 iOS、iPadOS、macOS、tvOS 和 watchOS 的零日漏洞
CVE-2021-1782(内核)- 恶意应用程序可能能够提升权限
CVE-2021-1870 (WebKit) - 远程攻击者可能会导致任意代码执行
CVE-2021-1871 (WebKit) - 远程攻击者可能会导致任意代码执行
CVE-2021-1879 (WebKit) - 处理恶意制作的 Web 内容可能导致通用跨站点脚本
CVE-2021-30657(系统首选项)- 恶意应用程序可能会绕过 Gatekeeper 检查
CVE-2021-30661(WebKit 存储) - 处理恶意制作的 Web 内容可能会导致任意代码执行
CVE-2021-30663 (WebKit) - 处理恶意制作的 Web 内容可能会导致任意代码执行
CVE-2021-30665 (WebKit) - 处理恶意制作的 Web 内容可能会导致任意代码执行
CVE-2021-30666 (WebKit) - 处理恶意制作的 Web 内容可能会导致任意代码执行
CVE-2021-30713(TCC 框架) - 恶意应用程序可能能够绕过隐私首选项
建议 Apple 设备用户更新到最新版本,以降低与漏洞相关的风险。(欢迎转载分享)