9月23日釋出的iOS 12.5.5以及2021-006 Catalina,分別修補3個以及1個已遭駭客開採的安全漏洞
文/陳曉莉 | 2021-09-24發表
圖片來源: 蘋果
蘋果在9月23日更新了舊版的iOS 12與macOS Catalina,修補已遭駭客開採的3個安全漏洞,其中的兩個是蘋果在9月中旬,先行針對新裝置所修補的CVE-2021-30860及CVE-2021-30858,另有一個是最近才被發現的CVE-2021-30869。
新的CVE-2021-30869漏洞存在於蘋果作業系統所使用的XNU核心,是由Google的研究人員所發現,為一類型混淆漏洞,允許惡意程式以核心權限執行任意程式,而且坊間已有鎖定該漏洞的攻擊程式。
兩個舊漏洞分別是CVE-2021-30860與CVE-2021-30858。前者出現在蘋果圖像渲染函式庫CoreGraphics,為一整數溢位漏洞,當它處理一個惡意的PDF檔案時,可能允許駭客執行任意程式,後者則藏匿在WebKit,它是個釋放後使用漏洞,在處理惡意的網頁內容時可能造成任意程式執行。
上述3個漏洞都已被開採,蘋果率先修補新裝置的CVE-2021-30860與CVE-2021-30858漏洞,此次才修補舊裝置的相關漏洞,以及CVE-2021-30869。
23日釋出的iOS 12.5.5適用於iPhone 5s/6/6 Plus,iPad Air、iPad mini 2/3與第六代的iPod touch,同時修補了3個漏洞。新版的2021-006 Catalina則僅修補CVE-2021-30869。
資料來源: 蘋果修補舊款裝置的零時差攻擊漏洞