苹果近日发布了iOS、macOS、tvOS和watchOS等系统的更新,其中包含针对多个重大漏洞的安全补丁,包括远程越狱攻击链以及在两个月前天府杯上首次展示的系统内核和 Safari 网络浏览器中的一些关键漏洞。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,这个系统内核漏洞的漏洞号为CVE-2021-30955,该漏洞可以使恶意应用程序能够以内核权限执行任意代码。该漏洞不仅影响iphone设备,也会影响macOS设备。
昆仑实验室首席执行官@mj0011sec在推文中表示,内核漏洞 CVE-2021-30955 是其试图用来构建远程越狱链但未能按时完成的内核漏洞,天府杯黑客大赛中盘古实验室最终利用一组类似的内核漏洞入侵了运行 iOS 15 的 iPhone13 Pro,这一漏洞发现赢得了 330000 美元的现金奖励。
除了 CVE-2021-30955,最新的更新还修复了总共五个内核和四个IOMobileFrameBuffer(用于管理屏幕帧缓冲区的内核扩展)漏洞:
CVE-2021-30927 和 CVE-2021-30980:免费问题后使用,可能允许流氓应用程序以内核权限运行任意代码。
CVE-2021-30937:一个内存损坏漏洞,可能允许恶意应用程序以内核权限运行任意代码。
CVE-2021-30949:内存损坏问题,可能允许恶意应用程序以内核权限运行任意代码。
CVE-2021-30993:一个缓冲区溢出问题,可能允许处于特权网络位置的攻击者能够执行任意代码
CVE-2021-30983:缓冲区溢出问题,可能允许应用程序以内核权限运行任意代码。
CVE-2021-30985:越界写入问题,可能允许恶意应用程序以内核权限运行任意代码。
CVE-2021-30991:越界读取问题,可能允许恶意应用程序以内核权限运行任意代码。
CVE-2021-30996:一种竞争条件,可能允许流氓应用程序以内核权限运行任意代码。
在 macOS 方面,苹果公司修补了 Wi-Fi 模块的一个漏洞 (CVE-2021-30938),系统上的本地用户可以利用该漏洞导致意外的系统终止甚至读取内核内存。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,本次更新还修复了 WebKit 组件中的7个安全漏洞,包括 CVE-2021-30934、CVE-2021-30936、CVE-2021-30951、CVE-2021-30952、CVE-2021-30953、CVE-2021-30954、CVE-2021-30954,这些漏洞可以导致利用特制 Web 内容实现任意代码执行的情况。
此外,苹果公司还解决了影响 iOS 中的备忘录和密码管理器应用程序的几个漏洞,这些漏洞可能使拥有 iOS 设备物理访问权限的人能够从锁定屏幕访问联系人并检索存储的密码,而无需任何身份验证。
「艾尔登法环」梅琳娜手办开订 立体手办▪
万代「艾尔登法环」白狼战鬼手办开订 立体手办▪
「夏目友人帐」猫咪老师粘土人开订 立体手办▪
「五等分的新娘∬」中野三玖·白无垢版手办开订 立体手办▪
「海贼王」乌索普Q版手办开订 立体手办▪
良笑社「初音未来」新手办开订 立体手办▪
「黑岩射手DAWN FALL」死亡主宰手办开订 立体手办▪
「盾之勇者成名录」菲洛手办登场 立体手办▪
「魔法少女小圆」美树沙耶香手办开订 立体手办▪
「咒术回战」七海建人粘土人登场 立体手办▪
「五等分的新娘」中野二乃白无垢手办开订 立体手办▪
「为美好的世界献上祝福!」芸芸粘土人开订 立体手办▪
「公主连结 与你重逢」六星可可萝手办开订 立体手办▪
「女神异闻录5」Joker雨宫莲手办开订 立体手办▪
「间谍过家家」约尔・福杰粘土人登场 立体手办▪
「街角魔族 2丁目」吉田优子手办开订 立体手办▪
「火影忍者 疾风传」旗木卡卡西·暗部版粘土人登场 立体手办▪
「佐佐木与宫野」宫野由美粘土人开订 立体手办▪
「盾之勇者成名录」第2季拉芙塔莉雅手办开订 立体手办▪
「咒术回战」两面宿傩Q版坐姿手办开订 立体手办▪
「DATE·A·BULLET」时崎狂三手办开订 立体手办▪
「狂赌之渊××」早乙女芽亚里粘土人开订 立体手办▪
「魔道祖师」魏无羨粘土人开订 立体手办▪
「新·奥特曼」奥特曼手办现已开订 立体手办▪