Apple 近日發(fā)布了相關(guān)安全更新，以修復(fù)當前易被攻擊者利用的三個 macOS 和 tvOS 零日漏洞。

前兩個漏洞為 CVE-2021-30663 和 CVE-2021-30665，影響了Apple TV 4K 和 Apple TV HD 設(shè)備上的 WebKit 引擎。Webkit 是蘋果公司的瀏覽器渲染引擎，由其網(wǎng)絡(luò)瀏覽器和應(yīng)用程序在其桌面和移動平臺上渲染 HTML 內(nèi)容，包括 iOS、macOS、tvOS 和 iPadOS。通過這兩個漏洞，攻擊者可以使用惡意制作的網(wǎng)頁內(nèi)容造成內(nèi)存損壞，進而在未打補丁的設(shè)備上執(zhí)行任意代碼。

另一個漏洞為 CVE-2021-30713，影響了 macOS Big Sur 設(shè)備，是一個在 TCC 框架(Transparency, Consent, Control)中發(fā)現(xiàn)的權(quán)限問題。TCC 框架是一個macOS 子系統(tǒng)，可以阻止已安裝的應(yīng)用程序訪問敏感的用戶信息，而不需要通過彈出信息詢問明確的權(quán)限。通過這個漏洞，攻擊者可以使用惡意制作的應(yīng)用程序，繞過隱私偏好設(shè)置，訪問敏感的用戶數(shù)據(jù)。此外，經(jīng)相關(guān)研究人員發(fā)現(xiàn)，該漏洞已被 XCSSET 惡意軟件利用。

不過，盡管 Apple 表示其知道有報告稱這些安全問題 "可能已被積極利用"，但并沒有提供相關(guān)細節(jié)。