苹果今天发布了https://support.apple.com/en-us/HT212146“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>iOS的安全更新修补三个在野外被利用的零日漏洞。
所有三个零日漏洞都报告给苹果一个影响iOS操作系统内核(CVE-2021-1782),另外两个在WebKit浏览器引擎(CVE-2021-1870和CVE-2021-1871)中。
iOS内核错误被描述为一个竞争条件错误,允许攻击者提升其攻击代码的权限。
这两个WebKit零天是这被描述为一个“逻辑问题”,使得远程攻击者能够在用户的Safari浏览器中执行自己的恶意代码。
安全专家认为,这三个漏洞是攻击链的一部分,在攻击链中,用户被引诱到一个恶意站点,该站点利用WebKit漏洞运行代码,然后将其权限提升到运行系统级代码并危害操作系统。
但是,关于使用这些漏洞的攻击的官方细节并未公开,这是当今苹果零日披露的典型情况。
这三个漏洞是在苹果去年11月修补了另一组三个iOS零日之后出现的。four security vendors披露SolarWinds相关事件
