蘋果剛剛發(fā)布了修補(bǔ)舊版 iOS 和 macOS 的零日漏洞，以封堵 iPhone 和 Mac 設(shè)備的安全隱患。早些時(shí)候，谷歌威脅分析團(tuán)隊(duì)的 Erye Hernandez 和 Clément Lecigne、以及 Project Zero 團(tuán)隊(duì)的 Ian Beer，共同披露了在 XNU 操作系統(tǒng)內(nèi)核中發(fā)現(xiàn)的 CVE-2021-30869 漏洞。

[[425452]]

若漏洞被攻擊者成功利用，將導(dǎo)致其可在受感染設(shè)備上利用內(nèi)核權(quán)限執(zhí)行任意代碼。蘋果方面表示，其已收到該問題或在野外被積極利用的報(bào)告。

受影響的設(shè)備包括運(yùn)行 iOS 12.5.5 的 iPhone5s、iPhone 6 / 6 Plus、iPadAir、iPad mini 2 / mini 3、第六代iPodtouch，以及安裝了 2021-006 Catalina 安全更新的 Mac 。

與此同時(shí)，蘋果還向后移植了兩個(gè)先前修補(bǔ)零日漏洞的安全更新，The Citizen Lab 曾披露其中一個(gè)可被用于部署 NSOPegASUS間諜軟件的漏洞。

除了今日修補(bǔ)的零日漏洞，蘋果還必須處理針對(duì) iOS 和 macOS 設(shè)備的其它安全隱患：

• 8 月披露的 FORCEDENTRY 漏洞(曾被 Amnesty Tech 命名為 Megalodon)。
• 2 月份的三個(gè) iOS 零日漏洞(CVE-2021-1870、CVE-2021-1871、CVE-2021-1872)，已有匿名研究人員提交了野外利用報(bào)告。
• 3 月份的 iOS 零日漏洞(CVE-2021-1879)也可能被積極利用。
• 4 月份曝出的一個(gè)可被 Shlayer 惡意軟件利用的 iOS(CVE-2021-30661)和 macOS(CVE-2021-30657)零日漏洞。
• 5 月份的另外三個(gè) iOS 零日漏洞(CVE-2021-30663、CVE-2021-30665、CVE-2021-30666)，會(huì)導(dǎo)致訪問惡意網(wǎng)站時(shí)的任意遠(yuǎn)程代碼執(zhí)行(RCE)。
• 5 月份曝出的可被 XCSSET 惡意軟件濫用來繞過蘋果 TCC 隱私保護(hù)的 macOS 零日漏洞(CVE-2021-30713)。
• 6 月份的兩個(gè) iOS 零日漏洞(CVE-2021-30761 和 CVE-2021-30762)，或已被積極利用來入侵較舊的 iPhone、iPad 和 iPod 設(shè)備。