蘋果剛剛發布了修補舊版 iOS 和 macOS 的零日漏洞,以封堵 iPhone 和 Mac 設備的安全隱患。早些時候,谷歌威脅分析團隊的 Erye Hernandez 和 Clément Lecigne、以及 Project Zero 團隊的 Ian Beer,共同披露了在 XNU 操作系統內核中發現的 CVE-2021-30869 漏洞。
若漏洞被攻擊者成功利用,將導致其可在受感染設備上利用內核權限執行任意代碼。蘋果方面表示,其已收到該問題或在野外被積極利用的報告。
受影響的設備包括運行 iOS 12.5.5 的 iPhone 5s、iPhone 6 / 6 Plus、iPad Air、iPad mini 2 / mini 3、第六代 iPod touch,以及安裝了 2021-006 Catalina 安全更新的 Mac 。
與此同時,蘋果還向後移植了兩個先前修補零日漏洞的安全更新,The Citizen Lab 曾披露其中一個可被用於部署 NSOPegASUS 間諜軟件的漏洞。
除了今日修補的零日漏洞,蘋果還必須處理針對 iOS 和 macOS 設備的其它安全隱患:
● 8 月披露的 FORCEDENTRY 漏洞(曾被 Amnesty Tech 命名為 Megalodon)。
● 2 月份的三個 iOS 零日漏洞(CVE-2021-1870、CVE-2021-1871、CVE-2021-1872),已有匿名研究人員提交了野外利用報告。
● 3 月份的 iOS 零日漏洞(CVE-2021-1879)也可能被積極利用。
● 4 月份曝出的一個可被 Shlayer 惡意軟件利用的 iOS(CVE-2021-30661)和 macOS(CVE-2021-30657)零日漏洞。
● 5 月份的另外三個 iOS 零日漏洞(CVE-2021-30663、CVE-2021-30665、CVE-2021-30666),會導致訪問惡意網站時的任意遠程代碼執行(RCE)。
● 5 月份曝出的可被 XCSSET 惡意軟件濫用來繞過蘋果 TCC 隱私保護的 macOS 零日漏洞(CVE-2021-30713)。
● 6 月份的兩個 iOS 零日漏洞(CVE-2021-30761 和 CVE-2021-30762),或已被積極利用來入侵較舊的 iPhone、iPad 和 iPod 設備。