Apple多个最新在野0day漏洞通告
2021-05-08 16:25:17 Author: www.freebuf.com(查看原文) 阅读量:138 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0x01漏洞简述

近期360安全大脑在全网范围内侦测到多起针对Apple产品的高级威胁攻击,影响最新的iOS、macOS系统,最新的iPhone手机和苹果电脑无法防御相关攻击。360高级威胁研究院在确定漏洞的严重性后,第一时间将相关漏洞细节通知了苹果公司,苹果公司已于4月26日开始至5月陆续发布安全补丁修复相关0day漏洞,并安全公告致谢360安全团队。

通过该漏洞攻击者可以精心制作多个恶意网站诱导受害用户访问,恶意网页会判断受害者访问使用的浏览器类型,如果是Safari则发送携带exploitJS代码,尝试多个浏览器漏洞和内核提权漏洞组合攻击,最终使用自定义的Loader加载一个Mash-o后门程序,攻击流程如下图。

t01b3a4ac079331d091.png

后门程序主要功能:

1. 收集APP安装信息

2. 窃取通讯录中所有联系人信息

3. 窃取设备的UDID和设备序列号

4. 窃取IOS KeyChain中保存的应用账户密码信息

鉴于相关漏洞的严重危害,请Apple产品用户及时更新安全补丁。

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级严重
影响面广泛
360CERT评分9.8

0x03漏洞详情

CVE-2021-30666: Webkit缓冲区溢出漏洞

CVE: CVE-2021-30666

组件: iOS、macOS

漏洞类型: 缓冲区溢出

影响: 代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

CVE-2021-30665: Webkit内存破坏漏洞

CVE: CVE-2021-30665

组件: iOS、macOS

漏洞类型: 内存破坏

影响: 内存破坏、代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

CVE-2021-30661: Webkit内存释放重用漏洞

CVE: CVE-2021-30661

组件: iOS、macOS

漏洞类型: 内存释放重用

影响: 代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

0x04 修复建议

通用修补建议

将系统更新至最新版本:

Apple官方更新教程

0x05时间线

2021-05-03Apple官方发布安全更新

2021-05-08360CERT发布通告

0x06参考链接

1、 HT212341

2、 HT212336

*本文来源:360CERT,如需转载请注明原出处


文章来源: https://www.freebuf.com/news/272213.html
如有侵权请联系:admin#unsafe.sh