苹果发布了针对Mac、iPhone和iPad设备的紧急0天漏洞补丁

苹果周一发布了针对iOS、iPadOS和macOS的紧急安全更新，以解决一个零日漏洞，该漏洞可能已被积极利用，这是苹果自今年年初以来修补的第十三个此类漏洞。

在苹果向公众发布iOS 14.7、iPadOS 14.7和macOS Big Sur 11.5不到一周后，这些更新修复了内存损坏问题(CVE-2021-30807)在IOMobileFrameBuffer组件中，一种用于管理屏幕帧缓冲区的内核扩展，可能被滥用以内核权限执行任意代码。

该公司表示，它通过改进内存处理解决了这个问题，并指出它“意识到有报告称这个问题可能已被积极利用”通常情况下，尚未披露有关该漏洞的其他详细信息，以防止将该漏洞武器化，从而进行更多攻击。苹果公司认为一位匿名研究员发现并报告了该漏洞。

更新的时间安排也引发了人们的疑问，即零日是否在使用NSO集团的Pegasus软件危害iPhone方面起到了任何作用，该软件已成为一系列调查报告的焦点，这些报告揭露了间谍软件工具是如何将记者、人权活动人士、，其他人则进入便携式监控设备，允许完全访问存储在其中的敏感信息。

CVE-2021-30807也是苹果今年单独解决的第十三个零日漏洞，包括—；

• CVE-2021-1782（内核）-恶意应用程序可能会提升权限
• CVE-2021-1870（WebKit）-远程攻击者可能会导致任意代码执行
• CVE-2021-1871（WebKit）-远程攻击者可能会导致任意代码执行
• CVE-2021-1879（WebKit）-处理恶意制作的web内容可能会导致通用跨站点脚本
• CVE-2021-30657（系统首选项）-恶意应用程序可能会绕过网守检查
• CVE-2021-30661（WebKit存储）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30663（WebKit）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30665（WebKit）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30666（WebKit）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30713（TCC框架）-恶意应用程序可能会绕过隐私偏好
• CVE-2021-30761（WebKit）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30762（WebKit）-处理恶意制作的web内容可能会导致任意代码执行

鉴于概念验证（PoC）漏洞的公开可用性，强烈建议用户迅速将设备更新至最新版本，以降低与该漏洞相关的风险。