Apple iOS、iPadOS和macOS又再度发现零时差(Zero-Day)漏洞,据传这个漏洞已被黑客大加利用,这已是Apple自年初以来已经修补的第13个零时差漏洞。为了解决这个急迫的安全问题,Apple周一特别发布针对iOS、iPadOS和macOS等系统的紧急安全更新。
大约1周前,该公司才刚对外公布iOS 14.7、iPadOS 14.7和macOS Big Sur 11.5等更新,但却造成Apple Watch无法解锁的问题。为了解决这个问题,Apple又再度发布macOS Big Sur 11.5.1、iOS 14.7.1及iPadOS 14.7.1更新,同时修补IOMobileFrameBuffer核心组件(也即用于管理屏幕Framebuffer讯框缓冲区的Kernel Extension内核扩展组件)中的内存损坏问题(CVE-2021-30807),这会被黑客滥用并通过内核权限执行任意程序代码。
该公司表示,它已通过内存处理问题的改进解决了这个安全性问题。此外,这一次更新的时机也引发了另外的问题与质疑,也即全新零时差漏洞是否导致使用以色列网络情报公司NSO Group旗下Pegasus间谍软件的iPhone手机遭到劫持,这已成为一系列调查报告关注的重点,这些报告披露了Pegasus间谍软件工具是如何将记者、人权活动人士和其他人的行动手机变成便携式监控设备,黑客并可完全访问存储在这些设备中的敏感信息。
CVE-2021-30807已是Apple今年处理的第13个零时差漏洞,另外12个漏洞请参见下表。
Apple今年前12个零时差漏洞一览表。 (Source:科技新报)
为了避免成为PoC概念验证漏洞攻击(目前已有人在Twitter上公开PoC攻击程序代码)受害者的可能风险,在此强烈建议用户尽快将自己的设备更新到最新版本。
(首图来源:Apple)