当前位置:首页 > 漏洞预警 > 正文

Apple iOS多个高危漏洞预警

发布时间:2021-06-16 11:55:22,来源:中国信息通信研究院

一、基本情况

6月14日,Apple发布安全更新,修复了Apple iOS存在3个高危漏洞,相关CVE编号:CVE-2021-30737(缓冲区溢出漏洞)、CVE-2021-30761(缓冲区溢出漏洞)、CVE-2021-30762(释放后重用漏洞)。攻击者可利用漏洞在目标系统上执行任意代码。此外,报告中指出CVE-2021-30761、CVE-2021-30762可能正在被广泛利用。建议受影响用户及时更新系统进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞描述

Apple iOS是美国苹果(Apple)公司的一套为移动设备所开发的操作系统。

1. 缓冲区溢出漏洞(CVE-2021-30737)

该漏洞是由于处理TLS证书时ASN.1解码器存在边界错误。远程攻击者通过诱使目标用户访问特制网站,并使用特制TLS证书触发内存破坏漏洞,导致在目标系统上执行任意代码。

2.缓冲区溢出漏洞(CVE-2021-30761)

该漏洞存在Apple iOS的WebKit组件中,由于处理HTML内容时出现边界错误。远程攻击者通过诱使目标用户访问特制网站,从而触发内存破坏漏洞,最终导致在目标系统上执行任意代码。

3.释放后重用漏洞(CVE-2021-30762)

该漏洞存在Apple iOS的WebKit组件中,由于处理HTML内容时出现边界错误。远程攻击者通过诱使目标用户访问特制网站,从而触发释放后重用错误漏洞,最终导致在目标系统上执行任意代码。

三、 影响范围

受影响设备类型:iPhone 5s,iPhone 6,iPhone 6 Plus,iPad Air,iPad mini 2,iPad mini 3,iPod touch (第6代)

受影响系统:

Apple iOS 12.0 16A366

Apple iOS 12.0 16A367

Apple iOS 12.0.1 16A404

Apple iOS 12.0.1 16A405

Apple iOS 12.1 16B92

Apple iOS 12.1 16B93

Apple iOS 12.1 16B94

Apple iOS 12.1.1 16C50

Apple iOS 12.1.2 16C101

Apple iOS 12.1.2 16C104

Apple iOS 12.1.3 16D39

Apple iOS 12.1.3 16D40

Apple iOS 12.1.4 16D57

Apple iOS 12.2 16E227

Apple iOS 12.3 16F156

Apple iOS 12.3 16F8155

Apple iOS 12.3.1 16F203

Apple iOS 12.3.1 16F8202

Apple iOS 12.3.2 16F250

Apple iOS 12.4 16G77

Apple iOS 12.4.1 16G102

Apple iOS 12.4.2 16G114

Apple iOS 12.4.3 16G130

Apple iOS 12.4.4 16G140

Apple iOS 12.4.5 16G161

Apple iOS 12.4.6 16G183

Apple iOS 12.4.7 16G192

Apple iOS 12.4.8 16G201

Apple iOS 12.4.9 16H5

Apple iOS 12.5 16H20

Apple iOS 12.5.1 16H22

Apple iOS 12.5.2 16H30

Apple iOS 12.5.3 16H41

四、 安全建议

建议受影响用户尽快更新至iOS 12.5.4,以减轻该漏洞风险。

https://support.apple.com/en-us/HT212548

五、 参考链

https://www.cybersecurity-help.cz/vdb/SB2021061430