蘋果剛剛發(fā)布了修補舊版 iOS 和 macOS 的零日漏洞，以封堵 iPhone 和 Mac 設備的安全隱患。早些時候，谷歌威脅分析團隊的 Erye Hernandez 和 Clément Lecigne、以及 Project Zero 團隊的 Ian Beer，共同披露了在 XNU 操作系統(tǒng)內(nèi)核中發(fā)現(xiàn)的 CVE-2021-30869 漏洞。

[[425452]]

若漏洞被攻擊者成功利用，將導致其可在受感染設備上利用內(nèi)核權限執(zhí)行任意代碼。蘋果方面表示，其已收到該問題或在野外被積極利用的報告。

受影響的設備包括運行 iOS 12.5.5 的 iPhone5s、iPhone 6 / 6 Plus、iPadAir、iPad mini 2 / mini 3、第六代iPodtouch，以及安裝了 2021-006 Catalina 安全更新的 Mac 。

與此同時，蘋果還向后移植了兩個先前修補零日漏洞的安全更新，The Citizen Lab 曾披露其中一個可被用于部署 NSOPegASUS間諜軟件的漏洞。

除了今日修補的零日漏洞，蘋果還必須處理針對 iOS 和 macOS 設備的其它安全隱患：

• 8 月披露的 FORCEDENTRY 漏洞(曾被 Amnesty Tech 命名為 Megalodon)。
• 2 月份的三個 iOS 零日漏洞(CVE-2021-1870、CVE-2021-1871、CVE-2021-1872)，已有匿名研究人員提交了野外利用報告。
• 3 月份的 iOS 零日漏洞(CVE-2021-1879)也可能被積極利用。
• 4 月份曝出的一個可被 Shlayer 惡意軟件利用的 iOS(CVE-2021-30661)和 macOS(CVE-2021-30657)零日漏洞。
• 5 月份的另外三個 iOS 零日漏洞(CVE-2021-30663、CVE-2021-30665、CVE-2021-30666)，會導致訪問惡意網(wǎng)站時的任意遠程代碼執(zhí)行(RCE)。
• 5 月份曝出的可被 XCSSET 惡意軟件濫用來繞過蘋果 TCC 隱私保護的 macOS 零日漏洞(CVE-2021-30713)。
• 6 月份的兩個 iOS 零日漏洞(CVE-2021-30761 和 CVE-2021-30762)，或已被積極利用來入侵較舊的 iPhone、iPad 和 iPod 設備。