蘋果設備零日漏洞威脅持續高發,今年已發生近十起針對性攻擊事件
本周一,蘋果緊急修復遭間諜軟件濫用的iOS零日漏洞;
今年以來,全球已披露近10起針對蘋果設備的針對性攻擊事件,其中涉及約20個相關零日漏洞。
周一,蘋果公司發布緊急安全更新修復兩個零日漏洞,此前曾出現多起利用這些漏洞攻擊iPhone及Mac設備的事件。安全人員發現,有攻擊者利用其中一個漏洞在iPhone上安裝Pegasus間諜軟件。
兩個安全漏洞的編號分別為CVE-2021-30860、CVE-2021-30858,攻擊者能夠借此在易受攻擊的設備上打開精心設計的惡意文檔并執行相應命令。
CVE-2021-30860由公民實驗室發現,是位于CoreGraphics的整數溢出漏洞,允許攻擊者創建惡意PDF文檔并在iOS及MacOS中打開時執行命令。
CVE-2021-30858則是一個WebKit釋放后使用漏洞,允許攻擊者創建惡意網頁,當iPhone及MacOS訪問這些網頁時即執行命令。蘋果稱這個漏洞是匿名披露的。
蘋果公司在日前發布的漏洞相關公告時表示,“蘋果公司已經掌握一份報告,稱這些問題可能已經被攻擊者主動利用。”
雖然蘋果并沒有提到攻擊者如何具體利用這些漏洞的更多信息,但公民實驗室已經確認,CVE-2021-30860是被命名為“FORCEDENTRY”的iMessage零點擊零日漏洞。
在實際攻擊中,FORCEDENTRY漏洞被用于繞過iOS BlastDoor安全功能,并在巴林激進分子所使用的設備上部署NSO Pegasus間諜軟件。
2021年蘋果飽受零日漏洞困擾
對蘋果來說,2021無疑是忙碌的一年。在針對iOS及Mac設備的定向攻擊中,零日漏洞幾乎是源源不斷出現。
- 2月,披露了3個iOS零日漏洞(CVE-2021-1870, CVE-2021-1871, CVE-2021-1872),已經在實際攻擊中被利用并由匿名研究人員上報;
- 3月,1個iOS零日漏洞(CVE-2021-1879),可能已被主動利用;
- 4月,1個iOS零日漏洞(CVE-2021-30661)加1個macOS零日漏洞(CVE-2021-30657),被Shlayer惡意軟件利用;
- 5月,3個iOS零日漏洞(CVE-2021-30663, CVE-2021-30665與CVE-2021-30666),可通過訪問惡意網站實現任意遠程代碼執行;
- 5月,1個macOS零日漏洞(CVE-2021-30713),被XCSSET惡意軟件利用以練過蘋果的TCC隱私保護機制;
- 6月,2個iOS零日漏洞(CVE-2021-30761、CVE-2021-30762),“可能已被主動用于”入侵較早版本的iPhone、iPad與iPod設備。
- 8月,披露了FORCEDENTRY漏洞(之前曾被Amnesty Tech追蹤為Megalodon漏洞);
谷歌Project Zero團隊在今年還披露了11個被用于針對Windows、iOS及Android設備發起攻擊的零日漏洞。
參考來源:bleepingcomputer.com
