苹果为2个在野外被利用的零日缺陷发布紧急补丁

苹果公司周一发布了带外安全补丁，以解决iOS 12.5.3中的两个零日漏洞。苹果称，这两个漏洞正在被广泛利用。

最新的iOS 12.5.4更新版本修复了三个安全漏洞，包括ASN中的内存损坏问题。1个解码器（CVE-2021-30737）及其WebKit浏览器引擎的两个缺陷，这些缺陷可能被滥用以实现远程代码执行—；

• -在处理恶意制作的web内容时，内存损坏问题可能会被利用以获得任意代码执行。通过改进州管理解决了该漏洞。
• CVE-2021-30762-在处理恶意制作的web内容时，可能会利用免费后使用问题来获得任意代码执行。通过改进内存管理，该漏洞得以解决。

CVE-2021-30761和CVE-2021-30762都被匿名报告给了苹果，这家总部位于库比蒂诺的公司在其咨询中表示，它知道有报告称这些漏洞“可能已被积极利用”与通常情况一样，苹果没有分享任何关于攻击性质、可能成为攻击目标的受害者或可能滥用攻击的威胁行为体的细节。

然而，有一点是显而易见的，即积极的利用企图是针对旧设备的所有者，如iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3和iPod touch（第六代）。此举反映了苹果5月3日推出的一个类似修复程序，该程序旨在修复针对同一组设备的WebKit中的缓冲区溢出漏洞（CVE-2021-30666）。

除了上述两个缺陷，苹果自今年年初以来已经修补了总共12个影响iOS、iPadOS、macOS、tvOS和watchOS的零日—；

• CVE-2021-1782（内核）-恶意应用程序可能会提升权限
• CVE-2021-1870（WebKit）-远程攻击者可能会导致任意代码执行
• CVE-2021-1871（WebKit）-远程攻击者可能会导致任意代码执行
• CVE-2021-1879（WebKit）-处理恶意制作的web内容可能会导致通用跨站点脚本
• CVE-2021-30657（系统首选项）-恶意应用程序可能会绕过网守检查
• CVE-2021-30661（WebKit存储）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30663（WebKit）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30665（WebKit）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30666（WebKit）-处理恶意制作的web内容可能会导致任意代码执行
• CVE-2021-30713（TCC框架）-恶意应用程序可能会绕过隐私偏好

建议Apple设备的用户更新至最新版本，以降低与漏洞相关的风险。