苹果 iOS、iPadOS 和 macOS 又再度发现零时差(Zero-Day)漏洞,据传这个漏洞已被骇客大加利用,这已是苹果年初以来修补的第 13 个零时差漏洞。为了解决急迫安全问题,苹果 26 日特别发布 iOS、iPadOS 和 macOS 等系统的紧急安全更新。
约莫一周前,苹果才刚公布 iOS 14.7、iPadOS 14.7 和 macOS Big Sur 11.5 等更新,却造成 Apple Watch 无法解锁问题。为了解决问题,苹果又再度释出 macOS Big Sur 11.5.1、iOS 14.7.1 及 iPadOS 14.7.1 更新,同时修补 IOMobileFrameBuffer 核心元件(亦即用于管理屏幕 Framebuffer 讯框缓冲区的 Kernel Extension 内核扩充套件)的内存损坏问题(CVE-2021-30807),这会被骇客滥用并透过内核权限执行任意程式码。
苹果表示,透过内存处理问题改进解决安全性问题。这次更新时机也引发另外问题与质疑,亦即全新零时差漏洞是否导致使用以色列网络情报公司 NSO Group 旗下 Pegasus 间谍软件的 iPhone 手机遭到劫持,这成为一系列调查报告关注的重点,报告揭露 Pegasus 间谍软件工具如何将记者、人权活动人士和其他人手机变成便携式监控装置,骇客并可完全存取储存在这些装置的敏感资讯。
CVE-2021-30807 是苹果今年处理的第 13 个零时差漏洞,另外 12 个漏洞请参见下表。
▲ 苹果今年前12个零时差漏洞一览表。(Source:科技新报)
为了避免成为 PoC 概念验证漏洞攻击(有人在 Twitter 公开 PoC 攻击程式码)受害者的可能风险,在此强烈建议使用者尽快将装置更新到最新版本。
- Apple Releases Urgent 0-Day Bug Patch for Mac, iPhone and iPad Devices
(首图来源:苹果)
