苹果修复今年以来的第13个0day,影响iOS 和 macOS
编译:奇安信代码卫士
今天,苹果发布补丁,修复 iOS、iPadOS 和 macOS 中已遭利用的一个 0day (CVE-2021-30807)。
该 0day 影响内核扩展 IOMobileFramebuffer,可导致开发人员控制设备内存处理屏幕显示即屏幕帧缓存的方式。苹果公司指出,应用程序或利用 CVE-2021-30807在易受攻击且未修复设备上以内核权限执行任意代码。获得内核权限的访问权限实际上使得攻击者能够完全控制设备如 iPhone、iPad 或 macOS 笔记本或桌面。
苹果公司在今天发布的 iOS/iPadOS 和 macOS 安全公告中指出,该漏洞可能已遭在野利用但并未透露更多详情。
不久后,安全研究员发布了该漏洞的 POC,另外一名安全研究员发布 write-up 并指出自己本打算报告给苹果公司但惊讶地发现苹果在今天已经修复了该漏洞。
建议更新
苹果公司建议用户更新至 macOS Big Sur 11.51.1、iOS 14.7.1 以及 iPadOS 14.7.1版本,解决该漏洞。目前更新适用于 macOS 笔记本和桌面、iPhone 6s及更高版本、iPad Pro(所有型号)、iPad Air 2及更高版本、iPad 第五代及更高版本、iPad mini 4及更高版本以及iPod touch(第7代)。
虽然有可能该0day 可能是 iOS 越狱社区 root iPhone 的新利用,但目前尚不清楚今天公布的 0day 是否和以色列iPhone 入侵工具出售公司 NSO Group 有关。NSO Group 最近因之前的hacking 活动曝光,获得大量报道。
第13枚 0day
这是苹果今年修复的第13枚0day,其它0day如下:
苹果修复老旧设备中的两个 iOS 0day
苹果修复被 XCSSET 恶意软件滥用的3个 0day
苹果紧急修复已遭利用的0day
https://therecord.media/apple-releases-fix-for-ios-and-macos-zero-day-13th-this-year/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。