蘋果近日發布了iOS、macOS、tvOS和watchOS等系統的更新,其中包含針對多個重大漏洞的安全補丁,包括遠程越獄攻擊鏈以及在兩個月前天府杯上首次展示的系統內核和 Safari 網絡瀏覽器中的壹些關鍵漏洞。
根據網絡安全行業門戶「極牛網」GEEKNB.COM的梳理,這個系統內核漏洞的漏洞號為 CVE-2021-30955 ,該漏洞可以使惡意應用程序能夠以內核權限執行任意代碼。該漏洞不僅影響iphone設備,也會影響macOS設備。
昆侖實驗室首席執行官@mj0011sec在推文中表示,內核漏洞 CVE-2021-30955 是其試圖用來構建遠程越獄鏈但未能按時完成的內核漏洞,天府杯黑客大賽中盤古實驗室最終利用壹組類似的內核漏洞入侵了運行 iOS 15 的 iPhone13 Pro,這壹漏洞發現贏得了 330000 美元的現金獎勵。
除了 CVE-2021-30955,最新的更新還修復了總***五個內核和四個IOMobileFrameBuffer(用於管理屏幕幀緩沖區的內核擴展)漏洞:
在 macOS 方面,蘋果公司修補了 Wi-Fi 模塊的壹個漏洞 (CVE-2021-30938),系統上的本地用戶可以利用該漏洞導致意外的系統終止甚至讀取內核內存。
根據網絡安全行業門戶「極牛網」GEEKNB.COM的梳理,本次更新還修復了 WebKit 組件中的7個安全漏洞,包括 CVE-2021-30934、CVE-2021-30936、CVE-2021-30951、CVE-2021-30952、CVE-2021-30953、CVE-2021-30954、CVE-2021-30954,這些漏洞可以導致利用特制 Web 內容實現任意代碼執行的情況。
此外,蘋果公司還解決了影響 iOS 中的備忘錄和密碼管理器應用程序的幾個漏洞,這些漏洞可能使擁有 iOS 設備物理訪問權限的人能夠從鎖定屏幕訪問聯系人並檢索存儲的密碼,而無需任何身份驗證。