圖片來源: 

photo by Laurenz Heymann on unsplash

蘋果於周一(10/11)釋出了iOS 15.0.2與iPadOS 15.0.2,此次的更新主要是解決了部分臭蟲,以及修補了一個已遭開採的CVE-2021-30883安全漏洞。

這次蘋果解決的臭蟲包括:自訊息中儲存的圖片可能會在訊息被移除時消失、在尋找物件時看不到AirTag,以及無法使用CarPlay打開音訊程式等。

對於CVE-2021-30883漏洞,蘋果則說它可能會允許應用程式以核心權限執行任意程式,而且已經遭到開採,已藉由改善記憶體處理修復了記憶體毀損問題。

有一名對CVE-2021-30883非常感興趣的研究人員Saar Amar,隨後即發布了他對這個漏洞的分析與概念性驗證程式。Amar表示,該漏洞的攻擊表面非常有趣,因為它可自程式沙箱存取,代表它是個極佳的越獄漏洞,也適用於其它開採程序,於是他決定找出該漏洞的根本原因。

Amar透過分析工具BinDiff及反向工程技術發現,該漏洞存在於AppleMobileDispH12P,並可自AppleCLCD存取,接著他便設計了一個概念性驗證程式來破壞記憶體,並證明它適用於iOS 14.7.1~15.0.1,也可能適用於更早之前的iOS版本。

熱門新聞

Advertisement