Apple发布了针对iPhone和iPad等设备的紧急0day漏洞补丁

苹果周一为iOS、iPad和macOS推出了紧急安全漏洞补丁更新，以解决据称可能已被大规模利用的0day漏洞，这是苹果自今年年初以来修补的第 13 个此类漏洞。

这些更新是在公司向公众发布 iOS 14.7、iPadOS 14.7 和 macOS Big Sur 11.5 后不到一周发布的，修复了IOMobileFrameBuffer 组件中的内存损坏问题 ( CVE-2021-30807 )，该组件是用于管理的内核扩展屏幕帧缓冲区，可能会被滥用以使用内核权限执行任意代码。

该公司表示，它通过改进内存处理解决了这个问题，并指出它“知道有报告称这个问题可能已被积极利用。” 通常情况下，尚未披露有关该缺陷的其他详细信息，以防止将漏洞武器化以进行其他攻击。苹果公司感谢一位匿名研究人员发现并报告了该漏洞。

更新的时机也引发了关于 NSO 集团的Pegasus 软件是否利用了零日漏洞的问题，该软件已成为一系列调查报告的焦点，这些报告揭露了间谍软件工具如何变成记者、人权活动家的手机。和其他人进入便携式监视设备，授予对存储在其中的敏感信息的完全访问权限。

CVE-2021-30807 也是苹果今年解决的第 13 个零日漏洞，包括——

• CVE-2021-1782（内核）- 恶意应用程序可能能够提升权限
• CVE-2021-1870 (WebKit) – 远程攻击者可能会导致任意代码执行
• CVE-2021-1871 (WebKit) – 远程攻击者可能会导致任意代码执行
• CVE-2021-1879 (WebKit) – 处理恶意制作的 Web 内容可能导致通用跨站点脚本
• CVE-2021-30657（系统首选项）- 恶意应用程序可能会绕过 Gatekeeper 检查
• CVE-2021-30661（WebKit 存储） – 处理恶意制作的 Web 内容可能会导致任意代码执行
• CVE-2021-30663 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
• CVE-2021-30665 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
• CVE-2021-30666 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
• CVE-2021-30713（TCC 框架）- 恶意应用程序可能能够绕过隐私首选项
• CVE-2021-30761 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行
• CVE-2021-30762 (WebKit) – 处理恶意制作的 Web 内容可能会导致任意代码执行

鉴于概念验证 (PoC) 漏洞的公开可用性，强烈建议用户迅速将其设备更新到最新版本，以降低与该缺陷相关的风险。