编译:奇安信代码卫士团队
苹果公司发布安全 iOS 的安全更新,修复了遭在野利用的三个 0day 漏洞。这些漏洞是由一名匿名研究员报告的。
在这三个漏洞中,其中一个影响 iOS 操作系统内核 (CVE-2021-1782),其余两个位于 WebKit 浏览器引擎(CVE-2021-1870 和 CVE-2021-1871)中。
该 iOS 内核漏洞被描述为一个条件竞争漏洞,可导致攻击者为攻击代码提权。其余两个是 WebKit 0day,是“逻辑问题”,可导致远程攻击者在用户的 Safari 浏览器中执行恶意代码。
安全专家认为这三个漏洞是一个利用链的一部分,目的是将用户诱骗至恶意网站,利用 WebKit 漏洞运行代码以提权运行系统级别的代码并攻陷操作系统。
然而,目前官方并未公开哪些攻击利用了这些漏洞。去年11月,苹果公司修复了3个由谷歌研究员发现的0day。去年12月,公民实验室报道称半岛电视台员工和记者在2020年初遭数个iOS 0day 的攻击,之后苹果公司发布 iOS 14,修复了这些漏洞。
原文链接
https://www.zdnet.com/article/apple-fixes-another-three-ios-zero-days-exploited-in-the-wild/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
