English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
苹果设备零日漏洞威胁持续高发,今年已发生近十起针对性攻击事件
文章来源:奥航智讯  作者:SCA  发布时间:2021-09-15  浏览次数:564



本周一,苹果紧急修复遭间谍软件滥用的iOS零日漏洞;


今年以来,全球已披露近10起针对苹果设备的针对性攻击事件,其中涉及约20个相关零日漏洞。


周一,苹果公司发布紧急安全更新修复两个零日漏洞,此前曾出现多起利用这些漏洞攻击iPhone及Mac设备的事件。安全人员发现,有攻击者利用其中一个漏洞在iPhone上安装Pegasus间谍软件。


两个安全漏洞的编号分别为CVE-2021-30860、CVE-2021-30858,攻击者能够借此在易受攻击的设备上打开精心设计的恶意文档并执行相应命令。


CVE-2021-30860由公民实验室发现,是位于CoreGraphics的整数溢出漏洞,允许攻击者创建恶意PDF文档并在iOS及MacOS中打开时执行命令。


CVE-2021-30858则是一个WebKit释放后使用漏洞,允许攻击者创建恶意网页,当iPhone及MacOS访问这些网页时即执行命令。苹果称这个漏洞是匿名披露的。


苹果公司在日前发布的漏洞相关公告时表示,“苹果公司已经掌握一份报告,称这些问题可能已经被攻击者主动利用。”


虽然苹果并没有提到攻击者如何具体利用这些漏洞的更多信息,但公民实验室已经确认,CVE-2021-30860是被命名为“FORCEDENTRY”的iMessage零点击零日漏洞。


在实际攻击中,FORCEDENTRY漏洞被用于绕过iOS BlastDoor安全功能,并在巴林激进分子所使用的设备上部署NSO Pegasus间谍软件。


2021年苹果饱受零日漏洞困扰


对苹果来说,2021无疑是忙碌的一年。在针对iOS及Mac设备的定向攻击中,零日漏洞几乎是源源不断出现。


2月,披露了3个iOS零日漏洞(CVE-2021-1870, CVE-2021-1871, CVE-2021-1872),已经在实际攻击中被利用并由匿名研究人员上报;


3月,1个iOS零日漏洞(CVE-2021-1879),可能已被主动利用;


4月,1个iOS零日漏洞(CVE-2021-30661)加1个macOS零日漏洞(CVE-2021-30657),被Shlayer恶意软件利用;


5月,3个iOS零日漏洞(CVE-2021-30663, CVE-2021-30665与CVE-2021-30666),可通过访问恶意网站实现任意远程代码执行;


5月,1个macOS零日漏洞(CVE-2021-30713),被XCSSET恶意软件利用以练过苹果的TCC隐私保护机制;


6月,2个iOS零日漏洞(CVE-2021-30761、CVE-2021-30762),“可能已被主动用于”入侵较早版本的iPhone、iPad与iPod设备。


8月,披露了FORCEDENTRY漏洞(之前曾被Amnesty Tech追踪为Megalodon漏洞);


谷歌Project Zero团队在今年还披露了11个被用于针对Windows、iOS及Android设备发起攻击的零日漏洞。(文章来源:互联网安全内参)



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司