关于防范Apple公司近期零日漏洞避免个人隐私信息泄露的安全通报

发布者:戚腾飞发布时间:2021-05-10浏览次数:16

各位师生,您好,

近期接安全厂商通报,互联网范围内侦测到多起专门针对苹果产品的高级威胁攻击,该攻击利用Apple公司现存的3个最新零日(0Day)漏洞(CVE-2021-30661、CVE-2021-30665和CVE-2021-30666),影响范围覆盖Apple各类系统众多版本,包括最新版iOS系统和macOS系统,即最新型号的iPhone手机和Apple电脑均无法防御相关攻击。目前,Apple公司官方已发布安全公告,已于4月26日开始至5月陆续发布安全补丁修复相关零日漏洞。鉴于此三个零日漏洞的严重危害,请广大Apple师生用户及时更新安全补丁,避免造成个人隐私信息泄露和手机及主机系统被攻击,降低安全事件发生风险。漏洞相关情况和具体建议如下:

漏洞危害:

此三个零日漏洞可被不法黑客利用来制作后门程序,攻击者不仅可以收集APP安装信息,还窃取通讯录中所有联系人信息,窃取设备UDID和设备序列号,以及窃取iOS KeyChain中保存的应用账户密码信息。从而窃取用户Apple设备中的重要资料和信息,对受害者的个人隐私、帐号等造成极大威胁。

处置建议:

目前,苹果已发布最新安全更新,请广大Apple师生用户尽快使用苹果设备的自动升级功能将系统更新至最新版本,避免遭受漏洞攻击。

详情可参见苹果的官方支持页面:https://support.apple.com/zh-cn/HT201222


漏洞详情:

CVE-2021-30666:Webkit缓冲区溢出漏洞

CVE: CVE-2021-30666

组件: iOS、macOS

漏洞类型: 缓冲区溢出

影响: 代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

CVE-2021-30665:Webkit内存破坏漏洞

CVE: CVE-2021-30665

组件: iOS、macOS

漏洞类型: 内存破坏

影响: 内存破坏、代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。

CVE-2021-30661:Webkit内存释放重用漏洞

CVE: CVE-2021-30661

组件: iOS、macOS

漏洞类型: 内存释放重用

影响: 代码执行

简述: 处理恶意制作的Web内容可能会导致任意代码执行,该漏洞已有在野利用。


信息化建设与网络安全办公室

2021年5月10日


相关信息来源:360政企安全

相关支持文档:https://support.apple.com/zh-cn/HT201222