苹果修复今年以来的第13个0day，影响iOS 和 macOS

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

该 0day 影响内核扩展 IOMobileFramebuffer，可导致开发人员控制设备内存处理屏幕显示即屏幕帧缓存的方式。苹果公司指出，应用程序或利用 CVE-2021-30807在易受攻击且未修复设备上以内核权限执行任意代码。获得内核权限的访问权限实际上使得攻击者能够完全控制设备如 iPhone、iPad 或 macOS 笔记本或桌面。

苹果公司在今天发布的 iOS/iPadOS 和 macOS 安全公告中指出，该漏洞可能已遭在野利用但并未透露更多详情。

不久后，安全研究员发布了该漏洞的 POC，另外一名安全研究员发布 write-up 并指出自己本打算报告给苹果公司但惊讶地发现苹果在今天已经修复了该漏洞。

苹果公司建议用户更新至 macOS Big Sur 11.51.1、iOS 14.7.1 以及 iPadOS 14.7.1版本，解决该漏洞。目前更新适用于 macOS 笔记本和桌面、iPhone 6s及更高版本、iPad Pro（所有型号）、iPad Air 2及更高版本、iPad 第五代及更高版本、iPad mini 4及更高版本以及iPod touch（第7代）。

虽然有可能该0day 可能是 iOS 越狱社区 root iPhone 的新利用，但目前尚不清楚今天公布的 0day 是否和以色列iPhone 入侵工具出售公司 NSO Group 有关。NSO Group 最近因之前的hacking 活动曝光，获得大量报道。

这是苹果今年修复的第13枚0day，其它0day如下：