发布时间:2021-06-16 11:55:22,来源:中国信息通信研究院
一、基本情况
6月14日,Apple发布安全更新,修复了Apple iOS存在3个高危漏洞,相关CVE编号:CVE-2021-30737(缓冲区溢出漏洞)、CVE-2021-30761(缓冲区溢出漏洞)、CVE-2021-30762(释放后重用漏洞)。攻击者可利用漏洞在目标系统上执行任意代码。此外,报告中指出CVE-2021-30761、CVE-2021-30762可能正在被广泛利用。建议受影响用户及时更新系统进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞描述
Apple iOS是美国苹果(Apple)公司的一套为移动设备所开发的操作系统。
1. 缓冲区溢出漏洞(CVE-2021-30737)
该漏洞是由于处理TLS证书时ASN.1解码器存在边界错误。远程攻击者通过诱使目标用户访问特制网站,并使用特制TLS证书触发内存破坏漏洞,导致在目标系统上执行任意代码。
2.缓冲区溢出漏洞(CVE-2021-30761)
该漏洞存在Apple iOS的WebKit组件中,由于处理HTML内容时出现边界错误。远程攻击者通过诱使目标用户访问特制网站,从而触发内存破坏漏洞,最终导致在目标系统上执行任意代码。
3.释放后重用漏洞(CVE-2021-30762)
该漏洞存在Apple iOS的WebKit组件中,由于处理HTML内容时出现边界错误。远程攻击者通过诱使目标用户访问特制网站,从而触发释放后重用错误漏洞,最终导致在目标系统上执行任意代码。
三、 影响范围
受影响设备类型:iPhone 5s,iPhone 6,iPhone 6 Plus,iPad Air,iPad mini 2,iPad mini 3,iPod touch (第6代)
受影响系统:
Apple iOS 12.0 16A366
Apple iOS 12.0 16A367
Apple iOS 12.0.1 16A404
Apple iOS 12.0.1 16A405
Apple iOS 12.1 16B92
Apple iOS 12.1 16B93
Apple iOS 12.1 16B94
Apple iOS 12.1.1 16C50
Apple iOS 12.1.2 16C101
Apple iOS 12.1.2 16C104
Apple iOS 12.1.3 16D39
Apple iOS 12.1.3 16D40
Apple iOS 12.1.4 16D57
Apple iOS 12.2 16E227
Apple iOS 12.3 16F156
Apple iOS 12.3 16F8155
Apple iOS 12.3.1 16F203
Apple iOS 12.3.1 16F8202
Apple iOS 12.3.2 16F250
Apple iOS 12.4 16G77
Apple iOS 12.4.1 16G102
Apple iOS 12.4.2 16G114
Apple iOS 12.4.3 16G130
Apple iOS 12.4.4 16G140
Apple iOS 12.4.5 16G161
Apple iOS 12.4.6 16G183
Apple iOS 12.4.7 16G192
Apple iOS 12.4.8 16G201
Apple iOS 12.4.9 16H5
Apple iOS 12.5 16H20
Apple iOS 12.5.1 16H22
Apple iOS 12.5.2 16H30
Apple iOS 12.5.3 16H41
四、 安全建议
建议受影响用户尽快更新至iOS 12.5.4,以减轻该漏洞风险。
https://support.apple.com/en-us/HT212548
五、 参考链接
https://www.cybersecurity-help.cz/vdb/SB2021061430