苹果 修复了三个积极开发的iOS零天

苹果 发布了一批新的安全更新,并固定了三个iOS零天“可能已经积极剥削” by attackers.

被剥削的ios零天

三个零天

零天漏洞中的两个(CVE-2021-1870和CVE-2021-1871)是影响WebKit浏览器引擎的逻辑问题,这可能允许远程攻击者在运行漏洞版本的iOS或iPados版本的设备上实现代码执行(即,那些之前的那些 版本14.4 )。

第三个零点(CVE-2021-1782)影响操作系统’核心。它是一种竞争条件,可以通过恶意应用程序利用,以提升易受攻击的iPhone或iPad的权限。 CVE-2021-1782也会影响Watchos和TVOS,并在发布的更新中修复(看7.3 TVOS 14.4 )。

匿名研究人员已被认为是所有三个缺陷的报告。

根据惯常,Apple决定不享有有关可能使用缺陷或攻击的具体细节。

零天剥削

据推测,攻击者正在使用一个或两个webkit缺陷来在目标设备上执行初始恶意有效载荷,然后核心漏洞实现必要的权限,以完全损害设备和间谍对目标的间谍’ activities.

It’■未知攻击是针对性的还是普遍的。 Apple已注意到,即将推出其他详细信息。与此同时,建议用户更新其设备以插入已漏洞的iOS零天。

在过去的六个月中,谷歌威胁分析组(标签)和公民实验室标记的有针对性攻击的类似IOS零天。后者 成立 他们被用来安装NSO组的Pegasus间谍软件。

苹果 还发布了安全更新 iCloud for Windows. 修复了四种漏洞,可能导致任意代码执行或堆损坏,以及 Xcode. ,它的宏的集成开发环境,它修复了一个路径处理问题,该问题可能允许恶意应用程序在运行使用Xcode使用按需资源的应用程序时访问主机设备上的任意文件。

分享这个