各位师生,您好,
近期接安全厂商通报,互联网范围内侦测到多起专门针对苹果产品的高级威胁攻击,该攻击利用Apple公司现存的3个最新零日(0Day)漏洞(CVE-2021-30661、CVE-2021-30665和CVE-2021-30666),影响范围覆盖Apple各类系统众多版本,包括最新版iOS系统和macOS系统,即最新型号的iPhone手机和Apple电脑均无法防御相关攻击。目前,Apple公司官方已发布安全公告,已于4月26日开始至5月陆续发布安全补丁修复相关零日漏洞。鉴于此三个零日漏洞的严重危害,请广大Apple师生用户及时更新安全补丁,避免造成个人隐私信息泄露和手机及主机系统被攻击,降低安全事件发生风险。漏洞相关情况和具体建议如下:
漏洞危害:
此三个零日漏洞可被不法黑客利用来制作后门程序,攻击者不仅可以收集APP安装信息,还窃取通讯录中所有联系人信息,窃取设备UDID和设备序列号,以及窃取iOS KeyChain中保存的应用账户密码信息。从而窃取用户Apple设备中的重要资料和信息,对受害者的个人隐私、帐号等造成极大威胁。
处置建议:
目前,苹果已发布最新安全更新,请广大Apple师生用户尽快使用苹果设备的自动升级功能将系统更新至最新版本,避免遭受漏洞攻击。
详情可参见苹果的官方支持页面:https://support.apple.com/zh-cn/HT201222
漏洞详情:
CVE-2021-30666:Webkit缓冲区溢出漏洞
CVE: CVE-2021-30666
组件: iOS、macOS
漏洞类型: 缓冲区溢出
影响: 代码执行
简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。
CVE-2021-30665:Webkit内存破坏漏洞
CVE: CVE-2021-30665
组件: iOS、macOS
漏洞类型: 内存破坏
影响: 内存破坏、代码执行
简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。
CVE-2021-30661:Webkit内存释放重用漏洞
CVE: CVE-2021-30661
组件: iOS、macOS
漏洞类型: 内存释放重用
影响: 代码执行
简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。
信息化建设与网络安全办公室
2021年5月10日
相关信息来源:360政企安全
