苹果发布紧急iPhone和iPad更新，修补新的零日漏洞

苹果周一发布了iOS和iPad的安全更新，以解决一个关键漏洞，该漏洞称正在被广泛利用，使其成为该公司自年初以来在其产品中解决的第17个零日漏洞

分配了标识符CVE-2021-30883的弱点涉及“IOMobileFrameBuffer”组件中的内存损坏问题，该问题可能允许应用程序以内核权限执行任意代码。苹果公司称赞一位匿名研究人员报告了该漏洞，称其“了解到有报道称该问题可能已被积极利用”

#关于该漏洞和攻击性质的技术细节以及威胁参与者的身份仍然不可用，以便允许大多数用户应用补丁并防止其他对手将该漏洞武器化。这家iPhone制造商表示，它通过改进内存处理来解决这个问题

#但在该公告发布后不久，安全研究员萨尔·阿马尔（Saar Amar）分享了更多细节，以及一个概念验证（PoC）漏洞，注意到“这个攻击面非常有趣，因为它可以从应用程序沙盒（所以它非常适合越狱）和许多其他过程中访问，这使它成为LPEs连锁攻击的良好候选。”

在2021年7月，苹果公司的CVE-20213088也成为第二个影响IOMobileFrameBuffer的第二个零日，该公司在2021年7月发表了类似的匿名报告的内存损坏问题（CVE-202130807），这可能导致两个缺陷相关。随着最新的修正案，该公司已经解决了17个零点至今的纪录，仅在2021和8212。

• CVE-2021-1782（内核）-恶意应用程序可能会提升权限
• CVE-2021-1870（WebKit）-远程攻击者可能会导致任意代码执行CVE-2021-1871（WebKit）-远程攻击者可能会导致任意代码执行
• CVE-2021-1879（WebKit）-处理恶意制作的web内容可能会导致通用CVE-2021-30657（系统首选项）-恶意应用程序可能会绕过网关守卫检查
• CVE-2021-30661（WebKit存储）-处理恶意创建的web内容可能导致任意代码执行CVE-2021-30663（WebKit）-处理恶意创建的web内容可能会导致任意代码执行
• CVE-2021-30665（WebKit）-处理恶意创建的web内容可能会导致任意代码执行CVE-2021-30666（WebKit）-处理恶意创建的web内容可能会导致任意代码执行
• CVE-2021-30713（TCC框架）-恶意应用程序可能能够绕过隐私首选项
• CVE-2021-30761（WebKit）-处理恶意创建的web内容可能会导致任意代码执行
• CVE-2021-30762（WebKit）-处理恶意创建的web内容可能会导致任意代码执行
• CVE-2021-30807（IOMobileFrameBuffer）-应用程序可能能够以内核权限执行任意
• CVE-2021-30858（WebKit）-处理恶意创建的web内容可能会导致任意代码执行
• CVE-2021-30860（CoreGraphics）-处理恶意制作的PDF可能会导致任意代码执行
• CVE-2021-30869（XNU）-恶意应用程序可能会以内核权限执行任意代码
• 强烈建议苹果iPhone和iPad用户更新至最新版本（iOS 15.0.2和iPad 15.0.2），以缓解安全漏洞