返回

苹果警告称,有3个iOS零日安全漏洞在野外被利用

发布时间:2023-12-21 20:54:57 1049
iOS Zero-Day Security Vulnerabilities

苹果周二发布了iOS、iPadOS和tvOS的更新,并修复了三个安全漏洞,苹果称这三个漏洞可能在野外被积极利用。

据一位匿名研究人员报道,三个零日缺陷—;CVE-2021-1782、CVE-2021-1870和CVE-2021-1871—;可能允许攻击者提升权限并实现远程代码执行。

这家iPhone制造商没有透露攻击的范围有多广,也没有透露积极利用攻击的攻击者的身份。

虽然内核(CVE-2021-1782)中的权限提升漏洞被认为是一种竞争条件,可能会导致恶意应用程序提升其权限,但其他两个缺点—;被称为“逻辑问题”—;是在WebKit浏览器引擎(CVE-2021-1870和CVE-2021-1871)中发现的,允许攻击者在Safari内执行任意代码。

苹果表示,竞争条件和WebKit缺陷分别通过改进锁定和限制得到了解决。

虽然在补丁被广泛应用之前,利用这些漏洞进行攻击的确切细节不太可能公开,但如果将它们链接在一起,对潜在目标进行水坑攻击,也就不足为奇了。

这种攻击只需访问一个受损的网站,然后利用上述漏洞升级其权限并运行任意命令来控制设备,即可传递恶意代码。

这些更新现在适用于iPhone 6s及更高版本、iPad Air 2及更高版本、iPad mini 4及更高版本、iPod touch(第七代)以及Apple TV 4K和Apple TV HD。

最近零日的消息发布之前,该公司于2020年11月解决了三个被积极利用的漏洞,并在iOS 13.5.1中发现了一个单独的零日漏洞,该漏洞被披露为去年针对半岛电视台记者的网络间谍活动中使用的漏洞。


特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线