苹果紧急修复已遭利用的0day
编译:奇安信代码卫士团队
距离上次为 iOS、iPadOS、macOS 和 watchOS 发布带外补丁仅数周之久,苹果公司再次紧急修复已遭在野利用的 0day,影响 iPhone、iPad 和 Apple Watch。
该漏洞编号为 CVE-2021-1879,和一个 WebKit 缺陷有关,可导致攻击者处理恶意构造的 Web 内容,从而可能导致通用跨站点脚本攻击。苹果公司表示,“通过改进对象生命周期管理修复了该问题。”
苹果致谢谷歌威胁分析团队研究员 Clement Lecigne 和 Billy Leonard 发现并报告该问题。虽然目前苹果并未披露漏洞详情,但指出发现该漏洞可能已遭利用。
更新适用于如下设备:
iOS 12.5.2 —— Phone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3和iPod touch(第6代)
iOS 14.4.2 —— iPhone 6s 及后续版本和 iPod touch(第7代)
iPadOS 14.4.2 —— iPad Pro(所有型号)、iPad Air 2及后续版本、iPad第5代及后续版本、iPad mini 4 及后续版本
watchOS 7.3.3 —— Apple Watch Series 3及后续版本
本月,苹果修复了另外一个 WebKit 缺陷 (CVE-2021-1844)。2021年1月,该公司还修复了三个 0day 漏洞(CVE-2021-1782、CVE-2021-1870和CVE-2021-1871),可使攻击者提权并实现远程代码执行后果。
耐人寻味的是,苹果似乎开始以独立于其它 OS 更新的方式测试交付 iOS 安全更新的方法。iOS 14.4.2 听起来似乎可从该功能获益的更新。
同时,建议苹果设备用户尽快安装这些更新,以缓解相关风险。
我俩也组了个队,找到一个苹果RCE 0day,获 $5 万奖金
不到4个小时,我找到了一枚苹果 0day
https://thehackernews.com/2021/03/apple-issues-urgent-patch-update-for.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。