Apple 修补 iOS 15 以解决零日漏洞

在苹果移动操作系统发布不到一个月后,iOS 15 已被修补到 15.0.2 版本,以解决影响该平台的新发现漏洞。

该漏洞被编码为 CVE-2021-30883,具有高风险等级。该漏洞涉及权限提升和允许外部参与者以内核权限执行潜在的恶意代码。

Apple 提供的官方说明称“应用程序可能能够以内核权限执行任意代码”。

该补丁已上线,并鼓励所有 Apple 移动设备用户尽快更新到 15.0.2,因为据报道该漏洞已被广泛利用。

该漏洞影响了一个名为 IOMobileFrameBuffer 的 iOS 内核扩展,该扩展通常用于处理屏幕帧缓冲区。 SecurityWeek 报道称,截至 2021 年,这是在 Apple 产品中发现的第 16 起被积极利用的零日漏洞,共有 76 起滥用漏洞的攻击。

具有讽刺意味的是,在 Apple 操作系统的主要版本号增量之后,安全补丁非常短暂,版本 15 非常专注于扩展和更新安全功能。

此次大更新的一个旗舰功能是内置的多因素身份验证代码生成器,以及旨在限制用户行为跟踪的扩展功能。这有效地消除了 Apple 设备用户下载第三方应用程序来处理 MFA 身份验证的需要,并自动将多因素身份验证代码输入到需要它们的环境中。

15.0 更新中引入的另一个功能是 Apple 所谓的邮件隐私保护。这项新功能应阻止电子邮件营销收集有关最终用户在其邮件应用程序中所做操作的信息,从而有效地限制有针对性的广告并最大限度地减少数据收集。

October 12, 2021