文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

苹果发布紧急iOS更新修补新的零日漏洞

2024-12-02 20:05

关注

苹果公司在周一匆忙发布了iOS 15.0.2和iPadOS 15.0.2的安全更新,修复了一个正在被大量利用的远程代码执行(RCE)零日漏洞。

在几个小时内,一位安全研究人员将该漏洞进行了分析,并公布了概念验证代码而且对该漏洞进行了解释,这意味着现在最好去更新你的iOS设备。

一周半前,苹果发布了iOS 15.0.1,修复了一系列的性能故障,iOS 15.0.2是该新操作系统的第一个安全更新。

周一发布的补丁解决了IOMobileFrameBuffer中的一个内存破坏零日漏洞,该漏洞编号为CVE-2021-30883,它是一个内核的扩展,用作屏幕帧缓冲器,并且允许开发者控制设备中的内存如何使用屏幕显示。

官方宣称,公司已经知道这个漏洞已经被大量的利用,该漏洞允许一个应用程序以内核权限执行任意代码。获得内核权限的攻击者就可以获得对iOS设备的完全控制。

苹果通常不会选择将攻击代码交给攻击者。按照惯例,该公司不会透露任何漏洞利用信息。它既没有公布漏洞的技术细节,也没有公布利用该漏洞的攻击代码。

但是并非所有的人对此都如此谨慎。在补丁发布后不久,一位名叫Saar Amar的安全研究员就发表了技术解释文章和概念验证的利用代码。他说,他认为这个漏洞非常有趣,因为它可以从应用沙盒中访问外部(所以它非常适合越狱)。

越狱,指的是利用被锁定设备的漏洞,然后安装制造商所指定的的软件以外的其他软件,使设备所有者能够获得对操作系统的完全访问权限,并访问所有的功能。

一个“伟大的”漏洞

该漏洞除了能够用于越狱,该研究人员还说,该漏洞也是非常适合进行链式攻击(WebContent等)的漏洞。

该研究人员解释说,通过使用bindiff快速查看补丁的源码,并确定了产生该漏洞的根本原因。他们指的BinDiff,是一个二进制文件的比较工具,它可以快速找到代码的差异和相似之处。安全研究人员和工程师一般用它来识别和隔离供应商提供的补丁中的漏洞修复,分析同一个二进制文件的多个版本之间的差异。

在通过bindiff分析之后,研究人员发现这个漏洞很好,并决定写个简短的博文来记录这个漏洞,希望能给其他人带来帮助。研究人员尽可能想在接近补丁发布的时候公布该发现,这样就不会造成漏洞被攻击;然而,在发布了一个非常好的稳定的POC后,结果在最后造成了巨大的恐慌。

周一的零日事件是苹果在7月修补的一个关键内存破坏漏洞后再次出现的。那个CVE-2021-30807漏洞也在被大量的利用,它也是在iOS和macOS的IOMobileFrameBuffer扩展中发现的,同样也可以被用来接管系统。

在周一更新的iOS 15.0.2,适用于iPhone 6s及以后版本,iPad Pro(所有型号),iPad Air 2及以后版本,iPad第五代及以后版本,iPad mini 4及以后版本,以及iPod touch(第七代)。

苹果将这一发现归功于一位匿名研究人员。

在苹果公司9月发布iOS 15系统的几周后,就进行了这一系统修复,该系统具有新的安全防御措施。具体来说,新的操作系统有一个内置的双因素认证(2FA)代码生成器,设备上的语音识别,以及多种反追踪的安全和隐私功能。语音识别是为了避免围绕iPhone生物识别技术被发送到云端处理(有时被人类窃听)而产生的隐私问题设计的。

iOS 15还包括了至少22个安全漏洞的补丁,其中一些漏洞使iPhone和iPad用户面临远程拒绝服务(DoS)和以内核权限远程执行任意代码的风险。

本文翻译自:https://threatpost.com/apple-urgent-ios-updates-zero-day/175419/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯