台湾电脑网络危机处理暨协调中心(Twcert/CC)近日公布,苹果推出 iOS 15.2,修复可让骇侵者 15 秒内破解的漏洞,此洞可导致骇客快速破解装置保护,远端执行任意程式码。
Twcert/CC 表示,苹果近期推出的 iOS 15.2 新版操作系统更新,修复可让骇客 15 秒内破解的漏洞 CVE-2021-30955;漏洞在旧版 iOS 系统 Mobile Safari 浏览器,可导致骇客快速破解装置保护,远端执行任意程式码。
据悉 2021 年 10 月于中国成都“天府杯”资安大赛,名为“昆仑实验室”资安团队以此漏洞 15 秒快速“越狱”,破解最新上市且搭载最新 iOS 15.0.2 版 iPhone 13 Pro。
资安专家表示,CVE-2021-30955 漏洞不只出现在 iOS 行动操作系统,Mac 电脑操作系统 macOS 也有。
苹果近日推出一系列操作系统更新版,包括 iOS 15.2、macOS Monterey 12.1、macOS Big Sur 11.6.2、macOS Catalina 资安更新 2021-008、iPadOS 15.2、tvOS 15.2、watchOS 8.3 等,除了解决上述 CVE-2021-30955 严重 RCE 漏洞,还更新 8 个其他漏洞,较重要的如下列:
- CVE-2021-30927、CVE-2021-30980:使用已释放内存的漏洞,可导致骇客以核心权限执行任意程式码。
- CVE-2021-30937、CVE-2021-30949:均为内存崩溃漏洞,可导致骇客以核心权限执行任意程式码。
- CVE-2021-30993、CVE-2021-30983:均为缓冲区溢位漏洞,可导致恶意程式或位于特定网络位址的骇客执行任意程式码。
Twcert/CC 建议,各型苹果装置用户,应立即更新至上述最新版操作系统,以修复漏洞。
(首图来源:Unsplash)
