苹果刚刚发布了旧版本的修复 iOS 和 macOS 零日漏洞被封堵 iPhone 和 Mac 设备安全隐患。早些时候,谷歌威胁分析团队 Erye Hernandez 和 Clément Lecigne、以及 Project Zero 团队的 Ian Beer,在 共同披露XNU 在操作系统内核中发现 CVE-2021-30869 漏洞。
如果漏洞被攻击者成功使用,它将导致任何代码都可以在感染设备上使用核心权限。苹果表示,它已经收到了关于这个问题或在野外积极使用的报告。
受影响的设备包括运行 iOS 12.5.5 的 iPhone5s、iPhone 6 / 6 Plus、iPadAir、iPad mini 2 / mini 3、第六代iPodtouch,以及安装了 2021-006 Catalina 安全更新 Mac 。
与此同时,苹果还移植了两个以前修复零日漏洞的安全更新,The Citizen Lab 曾披露其中一项可用于部署 NSOPegASUS间谍软件的漏洞。
除了今天修复的零日漏洞外,苹果还必须处理 iOS 和 macOS 设备的其他安全隐患:
- 8 每月披露FORCEDENTRY 漏洞(曾被 Amnesty Tech 命名为 Megalodon)。
- 2 三个 月份iOS 零日漏洞(CVE-2021-1870、CVE-2021-1871、CVE-2021-1872),匿名研究人员提交了野外使用报告。
- 3 月份的 iOS 零日漏洞(CVE-2021-1879)也可积极使用。
- 4 一个可以在月份曝光的 Shlayer 恶意软件使用 iOS(CVE-2021-30661)和 macOS(CVE-2021-30657)零日漏洞。
- 5另外三个 iOS 零日漏洞(CVE-2021-30663、CVE-2021-30665、CVE-2021-30666),访问恶意网站时执行任何远程代码都会导致(RCE)。
- 5 可以在月份曝光XCSSET 恶意软件滥用来绕过苹果 TCC 隐私保护 macOS 零日漏洞(CVE-2021-30713)。
- 6 两个 月份iOS 零日漏洞(CVE-2021-30761 和 CVE-2021-30762),或已被积极用于入侵旧 iPhone、iPad 和 iPod 设备。