Apple 修補 iOS 15 以解決零日漏洞

在蘋果移動操作系統發布不到一個月後,iOS 15 已被修補到 15.0.2 版本,以解決影響該平台的新發現漏洞。

該漏洞編碼為 CVE-2021-30883,具有高風險等級。該漏洞涉及權限提升和允許外部參與者以內核權限執行潛在的惡意代碼。

Apple 提供的官方說明稱,“應用程序可能能夠以內核權限執行任意代碼”。

該補丁已上線,並鼓勵所有 Apple 移動設備用戶盡快更新到 15.0.2,因為據報導該漏洞已被廣泛利用。

該漏洞影響了一個名為 IOMobileFrameBuffer 的 iOS 內核擴展,該擴展通常用於處理屏幕幀緩衝區。 SecurityWeek 報導稱,截至 2021 年,這是在 Apple 產品中發現的第 16 起被積極利用的零日漏洞,共有 76 起濫用漏洞的攻擊。

具有諷刺意味的是,在 Apple 操作系統的主要版本號增量之後,安全補丁非常短暫,版本 15 非常專注於擴展和更新安全功能。

此次大更新的一個旗艦功能是內置的多因素身份驗證代碼生成器,以及旨在限制用戶行為跟踪的擴展功能。這有效地消除了 Apple 設備用戶下載第三方應用程序來處理 MFA 身份驗證的需要,並自動將多因素身份驗證代碼輸入到需要它們的環境中。

15.0 更新中引入的另一個功能是 Apple 所謂的郵件隱私保護。這項新功能應阻止電子郵件營銷收集有關最終用戶在其郵件應用程序中的行為的信息,從而有效地限制有針對性的廣告並最大限度地減少數據收集。

October 12, 2021