Apple 近日發(fā)布了相關(guān)安全更新，以修復(fù)當(dāng)前易被攻擊者利用的三個(gè) macOS 和 tvOS 零日漏洞。

前兩個(gè)漏洞為 CVE-2021-30663 和 CVE-2021-30665，影響了Apple TV 4K 和 Apple TV HD 設(shè)備上的 WebKit 引擎。Webkit 是蘋果公司的瀏覽器渲染引擎，由其網(wǎng)絡(luò)瀏覽器和應(yīng)用程序在其桌面和移動平臺上渲染 HTML 內(nèi)容，包括 iOS、macOS、tvOS 和 iPadOS。通過這兩個(gè)漏洞，攻擊者可以使用惡意制作的網(wǎng)頁內(nèi)容造成內(nèi)存損壞，進(jìn)而在未打補(bǔ)丁的設(shè)備上執(zhí)行任意代碼。

另一個(gè)漏洞為 CVE-2021-30713，影響了 macOS Big Sur 設(shè)備，是一個(gè)在 TCC 框架(Transparency, Consent, Control)中發(fā)現(xiàn)的權(quán)限問題。TCC 框架是一個(gè)macOS 子系統(tǒng)，可以阻止已安裝的應(yīng)用程序訪問敏感的用戶信息，而不需要通過彈出信息詢問明確的權(quán)限。通過這個(gè)漏洞，攻擊者可以使用惡意制作的應(yīng)用程序，繞過隱私偏好設(shè)置，訪問敏感的用戶數(shù)據(jù)。此外，經(jīng)相關(guān)研究人員發(fā)現(xiàn)，該漏洞已被 XCSSET 惡意軟件利用。

不過，盡管 Apple 表示其知道有報(bào)告稱這些安全問題 "可能已被積極利用"，但并沒有提供相關(guān)細(xì)節(jié)。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Apple 修復(fù)了三個(gè) macOS 和 tvOS 零日漏洞

本文地址：https://www.oschina.net/news/142979/apple-fix-3-macos-tvos-0-days