苹果今天发布了 针对iOS的安全更新, 以修补三个在野外被利用的零日漏洞。
匿名研究人员向苹果报告了所有三个零时差,并且这些补丁可作为iOS 14.4的一部分获得。
第一个零天会影响iOS操作系统内核(CVE-2021-1782),另外两个是在WebKit浏览器引擎(CVE-2021-1870和CVE-2021-1871)中发现的。
iOS内核错误被描述为一种竞争条件错误,它可以使攻击者提升其攻击代码的特权。
这两个WebKit的零时差被描述为“逻辑问题”,它可能允许远程攻击者在用户的Safari浏览器中执行自己的恶意代码。
安全专家认为,这三个漏洞是漏洞利用链的一部分,在这个漏洞链中,用户被吸引到一个恶意站点,该站点利用WebKit错误来运行代码,该代码后来又提升了其特权以运行系统级代码并危及操作系统。
但是,有关使用这些漏洞的攻击的官方详细信息并未公开,这是当今大多数Apple零日漏洞的典型表现。苹果也拒绝进一步置评。
如今,这三个错误是在去年11月苹果公司对另外三个iOS零日补丁程序进行修补之后发布的。 Google的一个安全团队发现了11月的零日活动。
当公民实验室 在2020年初报告针对半岛电视台工作人员和记者的攻击时,另一套iOS零日消息的消息也于12月曝光。 当苹果发布iOS 14(安全性得到改进的iOS版本)时,这些iOS零日漏洞被无意间打了补丁。产品特点。