今年5月份,苹果webkit被爆出漏洞,随后苹果进行了紧急更新,修复了包括CVE-2021-30661、CVE-2021-30663、CVE-2021-30665与CVE-2021-30666在内的4大漏洞。
这些漏洞均与Safari浏览器引擎WebKit有关。近日研究人员警告称,目前最新版的Mac和iOS的Webkit仍然存在WebKit漏洞。
WebKit是Apple不仅用于其Safari Web浏览器,而且还用于在应用程序中显示网页或HTML内容的引擎,存在于其所有平台(移动和台式机)中,这意味着其中的任何安全漏洞也可能影响所有这些平台。
该漏洞位于WebKit的AudioWorklet 中,是一种可被利用的类型混淆漏洞,可引发 Safari 浏览器的崩溃。
AudioWorklet 接口允许开发者控制、渲染和输出音频,但也为攻击者利用此漏洞在设备上执行恶意代码而敞开了大门。不过攻击者若想利用此漏洞,需要绕过验证码(PAC),因为PAC 强制需要密码签名,才能在内存中执行代码。
开源开发者已于5月初修复了AudioWorklet漏洞,但是该漏洞仍存在于最新版本的 iOS 和 macOS 中。
在这个「补丁空窗期」,用户非常容易受到攻击。有研究表示大多数野外利用都发生在补丁发布之前或补丁可用后的几天内。
用户注意记得及时更新哦!
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com