苹果修补旧款设备的零时差攻击漏洞

苹果在9月23日更新了旧版的iOS 12与macOS Catalina,修补已遭黑客开采的3个安全漏洞,其中的两个是苹果在9月中旬,先行针对新设备所修补的CVE-2021-30860及CVE-2021-30858,另有一个是最近才被发现的CVE-2021-30869。

新的CVE-2021-30869漏洞存在于苹果操作系统所使用的XNU核心,是由Google的研究人员所发现,为一类型混淆漏洞,允许恶意程序以核心权限执行任意程序,而且坊间已有锁定该漏洞的攻击程序。

两个旧漏洞分别是CVE-2021-30860与CVE-2021-30858。前者出现在苹果图像渲染函数库CoreGraphics,为一整数溢出漏洞,当它处理一个恶意的PDF文件时,可能允许黑客执行任意程序,后者则藏匿在WebKit,它是个释放后使用漏洞,在处理恶意的网页内容时可能造成任意程序执行。

上述3个漏洞都已被开采,苹果率先修补新设备的CVE-2021-30860与CVE-2021-30858漏洞,此次才修补旧设备的相关漏洞,以及CVE-2021-30869。

23日发布的iOS 12.5.5适用于iPhone 5s/6/6 Plus,iPad Air、iPad mini 2/3与第六代的iPod touch,同时修补了3个漏洞。新版的2021-006 Catalina则仅修补CVE-2021-30869。

发表评论