苹果发布紧急补丁修复在野利用的2个0day漏洞

苹果发布紧急补丁修复在野利用的2个0day漏洞

目录导航

苹果周一(2021年6月14日)发布了安全补丁,以解决 iOS 12.5.3 中的两个零日漏洞,据称这些漏洞正在被广泛利用。

最新更新iOS 12.5.4包含三个安全修复程序,包括ASN.1 解码器中的内存损坏问题(CVE-2021-30737) 和两个与 WebKit 浏览器引擎相关的缺陷,可被滥用以实现远程代码执行.

  • CVE-2021-30761 – 一个内存损坏问题,可被利用在处理恶意制作的 Web 内容时获得任意代码执行。该缺陷已通过改进状态管理得到解决。
  • CVE-2021-30762 – 一个释放后使用问题,可被利用在处理恶意制作的 Web 内容时获得任意代码执行。该缺陷已通过改进内存管理解决。
苹果发布紧急补丁修复在野利用的2个0day漏洞

CVE-2021-30761 和 CVE-2021-30762 都是匿名报告给 Apple 的,这家总部位于库比蒂诺的公司在其公告中表示,它知道这些漏洞“可能已被积极利用”的报告。通常情况下,Apple 没有透露任何关于攻击性质、可能成为目标的受害者或可能滥用它们的威胁行为者的任何细节。

然而,有一点很明显,即主动利用尝试针对的是 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)等旧设备的所有者。此举反映了 Apple 于 5 月 3 日推出的类似修复程序,以修复针对同一组设备的 WebKit 中的缓冲区溢出漏洞 (CVE-2021-30666)。

除了上述两个漏洞,自今年年初以来,Apple 总共修补了 12 个影响 iOS、iPadOS、macOS、tvOS 和 watchOS 的零日漏洞

  • CVE-2021-1782(内核)- 恶意应用程序可能能够提升权限
  • CVE-2021-1870 (WebKit) – 远程攻击者可能会导致任意代码执行
  • CVE-2021-1871 (WebKit) – 远程攻击者可能会导致任意代码执行
  • CVE-2021-1879 (WebKit) – 处理恶意制作的 Web 内容可能导致通用跨站点脚本
  • CVE-2021-30657(系统首选项)- 恶意应用程序可能会绕过 Gatekeeper 检查
  • CVE-2021-30661(WebKit 存储)- 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30663 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30665 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30666 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
  • CVE-2021-30713(TCC 框架) – 恶意应用程序可能能够绕过隐私首选项

建议 Apple 设备用户更新到最新版本,以降低与漏洞相关的风险。

iOS 12.5.4

2021 年 6 月 14 日发布

安全

适用于:iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)

影响:处理恶意制作的证书可能会导致任意代码执行

说明:已通过删除易受攻击的代码解决 ASN.1 解码器中的内存损坏问题。

CVE-2021-30737:xerub

网页套件

适用于:iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行。Apple 获悉一份报告称,该漏洞可能已被积极利用。

描述:内存损坏问题已通过改进状态管理得到解决。

CVE-2021-30761:匿名研究员

网页套件

适用于:iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch(第 6 代)

影响:处理恶意制作的 Web 内容可能会导致任意代码执行。Apple 获悉一份报告称,该漏洞可能已被黑客疯狂利用。

描述:已通过改进内存管理解决释放后使用问题。 

CVE-2021-30762:匿名研究员

from from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注