蘋果已為 iOS、macOS、watchOS 和 Safari 瀏覽器發(fā)布帶外補(bǔ)丁，解決了一個可導(dǎo)致攻擊者通過惡意 Web 內(nèi)容在設(shè)備上執(zhí)行任意代碼的安全缺陷。

　　該漏洞的編號是 CVE-2021-1844，由谷歌威脅分析團(tuán)隊研究員 Clément Lecigne 和微軟瀏覽器漏洞研究團(tuán)隊研究員 Alison Huffman 發(fā)現(xiàn)并報告。

　　從蘋果發(fā)布的更新說明來看，該缺陷源自一個內(nèi)存損壞問題，在處理特殊構(gòu)造的 Web 內(nèi)容時可導(dǎo)致任意代碼執(zhí)行后果。蘋果公司表示已通過“改進(jìn)驗證”的方式解決了該問題。

　　運行 iOS 14.4、iPadOS 14.4、macOS Big Sur 和 watchOS 7.3.1 （Apple Watch Series 3 及后續(xù)版本）的設(shè)備可應(yīng)用補(bǔ)丁，運行 macOS Catalina 和 macOS Mojave 的 MacBooks 版本的 Safari 可更新。

　　蘋果最新發(fā)布補(bǔ)丁的時間是在1月份，修復(fù)了三個0day漏洞（CVE-2021-1782、CVE-2021-1870和CVE-2021-1871）。這些弱點可導(dǎo)致攻擊者提升權(quán)限并實現(xiàn)遠(yuǎn)程代碼執(zhí)行后果，之后被 “unc0ver” 團(tuán)隊用于創(chuàng)建越獄工具，可解鎖幾乎所有運行14.3的iPhone 機(jī)型。

　　值得注意的是，Huffman 還曾發(fā)現(xiàn)了一個已遭利用的 Chrome 0day，該漏洞已由谷歌在上周修復(fù)。但和該 Chrome 0day 的不同之處在于，目前尚未由證據(jù)表明 CVE-2021-1844 已遭惡意利用。

　　建議蘋果用戶或運行易受攻擊 Chrome 版本的用戶盡快安裝更新，以緩解這些缺陷帶來的風(fēng)險。