苹果修补旧款装置的零时差攻击漏洞

苹果在9月23日更新了旧版的iOS 12与macOS Catalina，修补已遭骇客开采的3个安全漏洞，其中的两个是苹果在9月中旬，先行针对新装置所修补的CVE-2021-30860及CVE-2021-30858，另有一个是最近才被发现的CVE-2021-30869。

新的CVE-2021-30869漏洞存在于苹果操作系统所使用的XNU核心，是由Google的研究人员所发现，为一类型混淆漏洞，允许恶意程式以核心权限执行任意程式，而且坊间已有锁定该漏洞的攻击程式。

两个旧漏洞分别是CVE-2021-30860与CVE-2021-30858。前者出现在苹果图像渲染函式库CoreGraphics，为一整数溢位漏洞，当它处理一个恶意的PDF档案时，可能允许骇客执行任意程式，后者则藏匿在WebKit，它是个释放后使用漏洞，在处理恶意的网页内容时可能造成任意程式执行。

上述3个漏洞都已被开采，苹果率先修补新装置的CVE-2021-30860与CVE-2021-30858漏洞，此次才修补旧装置的相关漏洞，以及CVE-2021-30869。

23日释出的iOS 12.5.5适用于iPhone 5s/6/6 Plus，iPad Air、iPad mini 2/3与第六代的iPod touch，同时修补了3个漏洞。新版的2021-006 Catalina则仅修补CVE-2021-30869。