苹果发布iOS 15.0.2和iPadOS15.0.2,紧急修复0day漏洞

安全 漏洞
该漏洞允许应用程序以内核权限执行任意代码,据苹果公司的某份报告显示,这个漏洞很有可能已经被广泛利用了。

[[428417]]

2021年10月12日凌晨1点,距离上个版本发布仅10天,苹果就向全球用户推送了 iOS15.0.2系统,同时发布的还有 iPadOS15.0.2。本次更新除了修复信息与照片、应用等一系列问题外,紧急修复了一个正在被黑客广泛利用的0day漏洞,漏洞编号CVE-2021-30883。

该漏洞出现在IOMobileFrameBuffer区域,涉及一个严重的内存损坏问题。攻击者可通过应用程序触发漏洞,并使用内核权限来执行命令。苹果公司也意识到,有人会利用这个漏洞发起攻击,但它依旧拒绝共享它们的详细信息。

“该漏洞允许应用程序以内核权限执行任意代码,据苹果公司的某份报告显示,这个漏洞很有可能已经被广泛利用了。苹果公司改进了内存处理之后,这个漏洞问题得以被解决。”

资料显示,CVE-2021-30883漏洞是由某位不愿透露姓名的安全研究人员报告。苹果iOS15.0.2系统更新适用于iPhone6及更高版本、iPad Pro(所有型号)、iPad Air2及更高版本、iPad第5代及更高版本、iPad mini4及更高版本,以及iPod Touch(第7代)。

恶意软件研究技术网的安全研究人员注意到,该漏洞被披露后不久,安全研究人员Saar Amar发表了一份关于如何利用该0day漏洞的PoC测试分析文章。

Amar在文章中写到:“本次展示的PoC测试在iOS14.7.1-15.0.1上的工作效果完全相同,对于更早的iOS版本可能也是如此,但我只在iOS14.7.1-15.0.1版本上进行了验证。这里需要注意的一点是,在不同的设备和版本上,有些常数可能会不一样。为此,我专门编写了测试的设备和版本,虽然这些版本全都一致,但在旧版本上可能有所不同。为了让过程更有趣,我还在iPhone11 Pro Max,iOS15.0上进行验证,工作效果完全一样。”

值得一提的是,Amar在他自己的博客中分享了这个0day漏洞,并构建了一个测试使用的PoC,因为他认为这是一个值得研究的漏洞。

事实上,自iOS15发布以来,各种问题和系统漏洞接踵而至。研究人员陆续向苹果提交了一些0day漏洞,但苹果公司一直未能及时进行修复。

如今,这些漏洞正在被苹果公司慢慢修复,尤其是活跃的0day漏洞被优先修复:

  • 2021年9月修复一个0day漏洞,编号为CVE-2021-30860,被用来部署NSO飞马间谍软件;
  • 2021年9月,修复iOS和macOS的两个0day漏洞,编号分别为CVE-2021-30860, CVE-2021-30858;
  • 2021年7月,修复一个0day漏洞,编号为CVE-2021-30807。

以下是苹果公司今年修复的其他0day漏洞编号:

  • CVE-2021-1782
  • CVE-2021-1870
  • CVE-2021-1871
  • CVE-2021-1879
  • CVE-2021-30657
  • CVE-2021-30661
  • CVE-2021-30663
  • CVE-2021-30665
  • CVE-2021-30666
  • CVE-2021-30713
  • CVE-2021-30761
  • CVE-2021-30762

文章来源:https://securityaffairs.co/wordpress/123236/mobile-2/apple-zero-day-vulnerability.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2020-07-02 10:03:37

漏洞安全微软

2021-10-12 11:26:39

iOS应用系统

2010-08-03 09:51:22

2021-10-06 13:48:50

0day漏洞攻击

2010-07-22 10:13:34

2013-11-06 15:09:27

2014-05-04 12:58:10

安全漏洞修复补丁

2022-01-27 09:47:20

漏洞苹果

2021-10-14 09:32:04

苹果 iOS 15 漏洞

2023-12-01 13:39:46

2009-07-06 13:15:07

2015-03-13 19:15:06

2022-01-21 06:54:18

iPhoneiPadiOS

2020-10-21 09:04:53

iOS 14.1iPad OS 14.苹果

2021-11-03 07:35:16

苹果 iOS 15.0. iOS 15.1

2009-12-17 16:13:36

2013-05-23 10:48:14

EPATHOBJ 0d0day漏洞

2015-05-20 16:34:14

2010-01-21 09:43:53

2021-07-17 06:41:12

谷歌Chrome浏览器
点赞
收藏

51CTO技术栈公众号