Apple本周开始推出适用于iOS、macOS、iPadOS、watchOS、tvOS和Safari的安全更新,以解决数十个漏洞,包括一些可能导致任意代码执行的漏洞。随着iOS14.7和iPadOS14.7的发布,苹果共解决了37个安全漏洞,其中包括最近引发安全行业热议的Wi-Fi安全漏洞,允许攻击者禁用易受攻击设备的Wi-Fi功能,可以不再访问WiFi热点。该安全漏洞编号为CVE-2021-30800,可以通过创建具有特定名称的恶意Wi-Fi接入点来加以利用。这些使用特殊字符的自定义SSID名称会被一些苹果设备当作命令处理,从而使设备的Wi-Fi连接功能瘫痪。据ZecOps移动EDR研究团队的安全研究人员称,该漏洞最初可能导致远程代码执行,Apple已经发布了一个补丁来阻止iOS14.4中的代码执行。但是,该漏洞仍可被利用导致运行iOS14.0至iOS14.6的设备上的Wi-Fi崩溃。最新版本的iOS修复的其他严重漏洞包括CVE-2021-30774(CrashReporter中的逻辑问题)和CVE-2021-30780(CVMS中的越界写入),这两个漏洞都可能被恶意应用程序利用来获得root权限。iOS14.7和iPadOS14.7中解决的其他安全漏洞可能导致任意代码执行、应用程序终止、权限绕过、沙盒限制绕过、访问受限数据、拒绝服务、代码签名检查或内核内存缓解绕过以及信息泄漏.本周,Apple还宣布了macOSMojave、macOSCatalina和macOSBigSur的安全更新,以解决数十个漏洞,其中大部分漏洞可用于执行任意代码。为此,macOSBigSur收到了36个漏洞补丁。苹果本周还宣布发布Safari14.1.2,为影响macOSCatalina和macOSMojave的三个WebKit漏洞提供补丁,所有这些漏洞都会导致代码执行。watchOS和tvOS也收到了安全更新,分别解决了21和20个漏洞。两者都包含针对CrashReporter和CVMS漏洞的补丁,这些漏洞可能允许恶意应用程序获得root权限。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
