此前苹果已经向iPhone 6S及以上设备推送安全更新修复臭名昭著的以色列NSO集团和飞马软件利用的零日漏洞。
但研究人员发现过时设备也存在漏洞并且已经遭到飞马间谍软件利用,但是此次漏洞似乎并不是无交互即可感染。
研究发现攻击者可以利用特制的PDF文档嵌入恶意代码发起攻击,另外含有恶意代码的网页亦可发起攻击和感染。
为此苹果向过时设备发布iOS 12.5.5版更新修复漏洞,如果你正在使用无法升级到iOS 14的设备建议也及时更新。
iOS 12.5.5适用于以下设备:
iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 以及第6代Apple iPod Touch等。
这些设备已经属于过时设备因而无法升级到iOS最新版本 ,但苹果仍然会为这些设备运行的旧iOS提供安全更新。
如果你正在使用这些设备请转到设置的系统里检查更新,此时系统应该会收到iOS 12.5.5版推送用于修复漏洞等。
以下是漏洞概述:
CVE-2021-30860:由公民实验室研究人员提交,攻击者可以利用特制的PDF文档发起攻击并导致任意代码执行。
苹果获得的报告显示此漏洞可能已经遭到积极利用,苹果已经通过改进输入验证解决整数溢出从而修复这枚漏洞。
CVE-2021-30858:由匿名研究者提交,攻击者可以利用特制的带有恶意代码的网页诱导访问导致任意代码执行。
苹果获得的报告显示此漏洞可能已经遭到积极利用,苹果已经通过改进内存管理解决内存释放后出现的使用问题。
CVE-2021-30869:由谷歌威胁分析团队提交,特制的具有恶意目的的应用程序可以以内核级权限执行任意代码。
苹果获得的报告显示此漏洞可能已经遭到积极利用,苹果已经通过改进状态处理解决相关代码类型混淆解决问题。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/173927.html