又有零時差漏洞!蘋果緊急發布今年第 13 個零時差漏洞修補程式

作者 | 發布日期 2021 年 07 月 28 日 14:46 | 分類 Apple , 網路 , 資訊安全 Telegram share ! follow us in feedly


蘋果 iOS、iPadOS 和 macOS 又再度發現零時差(Zero-Day)漏洞,據傳這個漏洞已被駭客大加利用,這已是蘋果年初以來修補的第 13 個零時差漏洞。為了解決急迫安全問題,蘋果 26 日特別發布 iOS、iPadOS 和 macOS 等系統的緊急安全更新。 

約莫一週前,蘋果才剛公布 iOS 14.7、iPadOS 14.7 和 macOS Big Sur 11.5 等更新,卻造成 Apple Watch 無法解鎖問題。為了解決問題,蘋果又再度釋出 macOS Big Sur 11.5.1、iOS 14.7.1 及 iPadOS 14.7.1 更新,同時修補 IOMobileFrameBuffer 核心元件(亦即用於管理螢幕 Framebuffer 訊框緩衝區的 Kernel Extension 內核擴充套件)的記憶體損壞問題(CVE-2021-30807),這會被駭客濫用並透過內核權限執行任意程式碼。

蘋果表示,透過記憶體處理問題改進解決安全性問題。這次更新時機也引發另外問題與質疑,亦即全新零時差漏洞是否導致使用以色列網路情報公司 NSO Group 旗下 Pegasus 間諜軟體的 iPhone 手機遭到劫持,這成為一系列調查報告關注的重點,報告揭露 Pegasus 間諜軟體工具如何將記者、人權活動人士和其他人手機變成可攜式監控裝置,駭客並可完全存取儲存在這些裝置的敏感資訊。

CVE-2021-30807 是蘋果今年處理的第 13 個零時差漏洞,另外 12 個漏洞請參見下表。

▲ 蘋果今年前12個零時差漏洞一覽表。(Source:科技新報

為了避免成為 PoC 概念驗證漏洞攻擊(有人在 Twitter 公開 PoC 攻擊程式碼)受害者的可能風險,在此強烈建議使用者儘快將裝置更新到最新版本。

(首圖來源:蘋果