近日,蘋果這周釋出了重要的安全補丁,以解決 iOS 12。5。3 中的兩個零日漏洞,據稱這些漏洞正在被駭客廣泛利用。
最新更新iOS 12。5。4修復了三個安全漏洞,包括ASN。1 解碼器中的記憶體損壞問題(CVE-2021-30737) 以及與 WebKit 瀏覽器引擎相關的兩個漏洞,這些漏洞可能被濫用以實現遠端程式碼執行
CVE-2021-30761 - 一個記憶體損壞問題,可被利用在處理惡意製作的 Web 內容時獲得任意程式碼執行。該缺陷已透過改進狀態管理得到解決。
CVE-2021-30762 - 一個釋放後使用問題,可被利用在處理惡意製作的 Web 內容時獲得任意程式碼執行。該缺陷已透過改進記憶體管理解決。
CVE-2021-30761 和 CVE-2021-30762 都是匿名報告給 Apple 的,這家總部位於庫比蒂諾的公司在其公告中表示,它知道這些漏洞“可能已被積極利用”的報告。通常情況下,Apple 沒有透露任何關於攻擊性質、可能成為目標的受害者或可能濫用它們的威脅行為者的任何細節。
然而,顯而易見的一件事是,主動利用嘗試針對的是舊裝置的所有者,例如 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)。此舉反映了 Apple 於 5 月 3 日推出的類似修復程式,以修復針對同一組裝置的 WebKit 中的緩衝區溢位漏洞 (CVE-2021-30666)。
防止資料洩露
除了上述兩個漏洞,自今年年初以來,Apple 總共修補了 12 個影響 iOS、iPadOS、macOS、tvOS 和 watchOS 的零日漏洞
CVE-2021-1782(核心)- 惡意應用程式可能能夠提升許可權
CVE-2021-1870 (WebKit) - 遠端攻擊者可能會導致任意程式碼執行
CVE-2021-1871 (WebKit) - 遠端攻擊者可能會導致任意程式碼執行
CVE-2021-1879 (WebKit) - 處理惡意製作的 Web 內容可能導致通用跨站點指令碼
CVE-2021-30657(系統首選項)- 惡意應用程式可能會繞過 Gatekeeper 檢查
CVE-2021-30661(WebKit 儲存) - 處理惡意製作的 Web 內容可能會導致任意程式碼執行
CVE-2021-30663 (WebKit) - 處理惡意製作的 Web 內容可能會導致任意程式碼執行
CVE-2021-30665 (WebKit) - 處理惡意製作的 Web 內容可能會導致任意程式碼執行
CVE-2021-30666 (WebKit) - 處理惡意製作的 Web 內容可能會導致任意程式碼執行
CVE-2021-30713(TCC 框架) - 惡意應用程式可能能夠繞過隱私首選項
建議 Apple 裝置使用者更新到最新版本,以降低與漏洞相關的風險。(歡迎轉載分享)
