苹果警告称，有3个iOS零日安全漏洞在野外被利用

苹果周二发布了iOS、iPadOS和tvOS的更新，并修复了三个安全漏洞，苹果称这三个漏洞可能在野外被积极利用。

据一位匿名研究人员报道，三个零日缺陷—；CVE-2021-1782、CVE-2021-1870和CVE-2021-1871—；可能允许攻击者提升权限并实现远程代码执行。

这家iPhone制造商没有透露攻击的范围有多广，也没有透露积极利用攻击的攻击者的身份。

虽然内核（CVE-2021-1782）中的权限提升漏洞被认为是一种竞争条件，可能会导致恶意应用程序提升其权限，但其他两个缺点—；被称为“逻辑问题”—；是在WebKit浏览器引擎（CVE-2021-1870和CVE-2021-1871）中发现的，允许攻击者在Safari内执行任意代码。

苹果表示，竞争条件和WebKit缺陷分别通过改进锁定和限制得到了解决。

虽然在补丁被广泛应用之前，利用这些漏洞进行攻击的确切细节不太可能公开，但如果将它们链接在一起，对潜在目标进行水坑攻击，也就不足为奇了。

这种攻击只需访问一个受损的网站，然后利用上述漏洞升级其权限并运行任意命令来控制设备，即可传递恶意代码。

这些更新现在适用于iPhone 6s及更高版本、iPad Air 2及更高版本、iPad mini 4及更高版本、iPod touch（第七代）以及Apple TV 4K和Apple TV HD。

最近零日的消息发布之前，该公司于2020年11月解决了三个被积极利用的漏洞，并在iOS 13.5.1中发现了一个单独的零日漏洞，该漏洞被披露为去年针对半岛电视台记者的网络间谍活动中使用的漏洞。