苹果手机iOS。Credit: Unsplash在苹果进行了自2020年9月14.0版本发布以来最大规模的iOS和iPad更新一周后,该公司针对两个零日漏洞推出了新的补丁,这两个漏洞允许黑客在完全更新的设备上执行恶意代码。此外,14.5.1的新版本还缓解了前一版本中包含的最新应用程序跟踪透明度功能中的一个bug问题。这两个漏洞都位于浏览器引擎Webkit中,该引擎为应用商店、邮件和Safari以及运行在iOS、Linux和macOS上的其他各种应用程序提供网络内容。苹果将此攻击描述为对恶意制作的网络内容的处理,从而导致任意代码的执行。到目前为止,这两个零日已经打了补丁。
到目前为止,苹果已经发出通知,这些漏洞可能已经被利用。该公司还宣布,第二个零日是由中国安全研究公司奇虎360发布的,而一个匿名消息来源报告了第一个漏洞。目前,苹果尚未提供关于谁在实施这些漏洞利用或谁面临被利用风险的细节。
谷歌的零漏洞项目研究团队评估称,这三个新漏洞使7个被积极利用的漏洞总数达到零天。事实上,仅在2021年发现的22个零日中,就有近33%瞄准了苹果手机操作系统。这使得iOS成为继Chrome之后最受零日关注的软件。
自从这些漏洞被修补后,由于新的安全限制不允许脸书应用程序在没有明确用户许可的情况下跟踪其他已安装应用程序的用户活动,脸书已经采取了一些措施。此外,另一个错误可能会导致设置菜单中的应用程序跟踪透明度开关变灰,即使用户已经更新到iOS 14.5.1。
总的来说,苹果安全和漏洞研究团队强调,由于缺乏对其存在的了解,这些类型的零日对维护者和用户都构成了如此大的威胁。毕竟,如果黑客在事件响应者和研究人员甚至意识到qu estion中的漏洞存在之前,就设法执行邪恶的代码或访问特权系统,攻击者就可以窃取过多的数据,造成潜在的不可估量的损失。
除了针对已发现漏洞的补丁,苹果还确认了针对应用程序跟踪透明度功能缺陷的补丁。此修复将使用户能够再次选择不在他们的苹果设备上进行广告跟踪。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
