首页 > 业界 > 关键词 > 苹果最新资讯 > 正文

Safari 14.1更新:修复两个影响macOS的WebKit零日漏洞

2021-05-05 12:11 · 稿源:cnbeta

周二的时候,苹果发布了新版 Safari 软件,可知被野外利用的两个 WebKit 零日漏洞,已在最新的 Safari 14.1 更新中得到了修复。由今日发布的官方安全文档可知,Safari 14.1 更新修复了 macOS Catalina 和 macOS Mojave 平台上的缺陷,分别涉及内存崩溃(CVE-2021-30665)和整数溢出(CVE-2021-30663)问题。

(来自:Apple Support)

苹果证实,他们已经收到了上述漏洞有在野外被利用的报告。如不幸中招,攻击者将可通过恶意 Web 内容,在受害者的 macOS 目标设备上执行任意代码。

需要指出的是,除了 macOS 平台,苹果也在本周一修复了 iOS 14.5.1 / macOS Big Sur 11.3 版本中的相同漏洞,此外今日更新的 Safari 14.1 包含了一些常规的 bug 修复和安全防护。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 新版macOS修复重要安全漏洞苹果要求用户马上升级!

    如果你是苹果桌面电脑的用户,那么还是要第一时间去进行系统升级的。苹果刚刚发布的macOS 11.3的稳定版本,其中包含了一些新功能,以及针对某个已被恶意攻击者利用的大号安全漏洞的修复。基于此,除非出于兼容性的考量而坚持使用macOS Catalina,建议大家还是尽快通过系统偏好设置 - 软件更新”来获取并安装更新。对于M1 Mac用户来说,macOS 11.3 Big Sur更新还包含了针对在Mac上运行iPhone/iPad应用程序的优化。苹果之所以让大家?

  • 苹果发布macOS Big Sur 11.3.1 修复已被利用的漏洞

    除了iOS 14.5.1,苹果公司还发布了macOS Big Sur 11.3的修正性质的更新,包含对两个漏洞的安全修复,该公司称这两个漏洞可能已经在外部被利用。macOS Big Sur 11.3.1更新现在可以通过OTA的方式提供给用户。这是一个相对较小的更新,没有新增任何面向用户的功能,但它包含苹果所说的"重要安全更新"。根据苹果的安全报告页面,macOS 11.3.1修复了WebKit中的一对漏洞,这些漏洞可能允许恶意制作的网页内容导致任意代码执行。苹果表示?

  • 苹果AirDrop存在安全漏洞 可以将电话号码和电子邮件暴露给陌生人

    苹果AirDrop中新发现的一个安全漏洞,自2019年以来一直存在,可以将你的电话号码和电子邮件暴露给陌生人。AirDrop被认为是苹果生态系统的最佳功能之一。它快速、方便,不需要巨大的学习曲线就可以开始使用。由于有了AirDrop,向另一个iPhone、iPad或Mac用户发送文件、照片和视频从未如此简单。然而,据达姆施塔特大学的研究人员称,AirDrop可以向陌生人透露用户的联系信息和电子邮件。这是通过AirDrop所经历的过程来实现的,以检查

  • 苹果在macOS Big Sur 11.3中修复了一个大号安全漏洞

    经过三个月的 Beta 测试,苹果终于在近日向公众发布了 macOS 11.3 的稳定版本。可知其中包含了一些新功能,以及针对某个已被恶意攻击者利用的大号安全漏洞的修复。基于此,除非出于兼容性的考量而坚持使用 macOS Catalina,建议大家还是尽快通过“系统偏好设置 - 软件更新”来获取并安装更新。视频截图(来自:ZolloTech / YouTube)对于 M1 Mac 用户来说,macOS 11.3 Big Sur 更新还包含了针对在 Mac 上运行 iPhone / iPad 应用程

  • 本月补丁星期二活动共计修复108处漏洞 其中19处为关键漏洞

    对于普通用户来说,本月补丁星期二活动发布的 Windows 10 累积更新并没有什么新的内容,主要是对系统安全性进行优化。不过对于 Windows 和 Microsoft Exchange 管理员来说,最近几个月一直非常忙碌,4 月累积更新修复了 5 个零日漏洞和更多的 Exchange 漏洞。在今天的更新中,微软共计修复了 108 处漏洞,其中 19 个标记为“关键漏洞”(Critial),89 个标记为“重要漏洞”(Important)。而且这些漏洞并不包含本月初发布的 6 个

  • Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

    一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞,当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告,但遗憾的是,作为 Source Engine 和《CS:Go》、《Team Fortress 2》等游戏的制造商,该公司的修复速度实在太慢。视频截图(来自:Secret Club / YouTube)Motherboard 报道称,黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请,实现对受害者计算机的控制。安全研究人员 Flori

  • Google 发布 Chrome 更新,修补七个安全漏洞

    Google 周三针对 Windows、Mac 和 Linux 端的 Chrome 浏览器发布了更新,更新后版本号来到了90.0.4430.85。该版本中包含七个安全补丁,其中包括一个已被利用的零日漏洞。

  • 微软确认已修复NTFS格式磁盘拒绝服务致系统崩溃的漏洞

    在1月中旬,我们报道了Windows 10中的一个漏洞,它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复。但Chkdsk并不总是能做到这一点,反而让受害者无法启动系统。几个月前,微软开始在Windows Insiders社区测试修复补丁,现在补丁正在提供给所有用户,微软标记其为解决了被追踪为CVE-2021-28312(Windows NTFS拒绝服务漏洞)的问题

  • Chrome已部署Windows 10的安全漏洞缓解措施

    在 Windows 10 计算机上,微软部署了名为 CET 的控制流缓解措施,以实现硬件增强的堆栈保护。现在,Google Chrome 浏览器也借鉴了这一方案,为所有兼容设备引入了增强型的漏洞利用防护特性。据悉,这项措施能够阻止攻击者在 Windows 10 2004 及以上版本的英特尔 11 代 / AMD Zen 3 处理器上利用相关安全漏洞。(来自:Tech Community)硬件强制堆栈保护功能,借助了 Intel CET 芯片组安全性扩展,来保护应用程序免受常见漏洞利用技

  • Facebook危险漏洞暴露数百万电子邮件地址

    据国外科技媒体应用程序标识符报道: 据称,在该公司否认了这一漏洞后,一名安全研究人员强调了Facebook的一个漏洞,该漏洞暴露了数百万用户的电子邮件地址。这位匿名研究人员制作了一段视频,展示了一种可以将Facebook账户链接到其电子邮件地址的工具。这个工具每天可以处理多达500万个电子邮件地址。安全专家说,他们在向Facebook报告了这个漏洞。他们制作了Facebook电子邮件搜索v1.0版工具,并发布了这段视频。据称,这家社交巨

  • Facebook被爆新漏洞:可收集用户的电子邮件信息

    本月早些时候,有人在黑客论坛上放出了一个拥有 5.3 亿 Facebook 用户个人信息的数据集。随后该公司承认存在本次数据泄漏,但表示不会通知在该漏洞中受到影响的用户。虽然 Facebook 表示已经修复了之前允许黑客从该社交平台上刮取数据的漏洞,不过一名安全研究人员发现了另一个漏洞。该漏洞允许黑客从 Facebook 上刮取电子邮件地址。在与 Motherboard 分享的一段视频中,该人士指出 如果用户将其隐私设置为“Only Me”以外的其他选

  • 大意失荆州-- Uranium Finance合约升级漏洞事件分析

    北京时间 2021 年 4 月 28 日,币安智能链上区块链项目 Uranium Finance发推提醒用户称:Uranium在流动性迁移过程中被攻击,涉及资金为 5000 万美元。提醒用户停止交易,目前团队正在与币安安全团队联系。随后公开了攻击合约地址:0x2b528a28451e9853F51616f3B0f6D82Af8bEA6Ae通付盾区块链安全团队(SharkTeam)第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的?

  • [图]上亿台设备受影响 高危漏洞NAME:WRECK曝光

    通过和 JSOF Research 合作,网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞--NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈(FreeBSD,Nucleus NET,IPnet 和 NetX)的 9 个漏洞组合,对域名系统(DNS)实现有关,会导致拒绝服务(DoS)或远程代码执行(RCE),允许攻击者控制或者宕机目标设备。这些漏洞影响的TCP/IP堆栈包括但不限于:FreeBSD(影响版本:12.1)-BSD系列中最流行的操作系统之一。IPnet(

  • 安全专家发现基于Chromium的浏览器漏洞 可绕过沙盒远程执行

    针对 Chrome、Edge 以及其他基于 Chromium 的浏览器,一位安全研究人员在 Twitter 上分享了一个概念验证(PoC)漏洞。虽然这个零日漏洞已经被公开披露,但在最新版的 Chrome 和 Edge 中并未被修复。安全研究人员 Rajvardhan Agarwal 在基于 Chromium 浏览器中的 V8 JavaScript 引擎中发现了一个远程代码执行漏洞,并通过个人 Twitter 帐号进行了公布。虽然该漏洞已经在最新版本的 V8 JavaScript 引擎中得到修复,但谷歌何时将其添?

  • 特斯拉自动驾驶被曝重大漏洞:驾驶位没人也能启动Autopilot

    当地时间4月22日,美国《消费者报告》披露了特斯拉自动驾驶辅助系统的一大隐患。报告指出,特斯拉Model Y 在驾驶员座位无人的情况下依然可以启动Autopilot。

  • 明尼苏达大学就Linux内核被注入实验性漏洞一事作出回应

    早些时候,Greg Kroah-Hartman 阻止了美国一所大学针对 Linux 主线内核的补丁合并尝试,理由是该校研究人员故意提交了具有安全影响的可疑代码、以开展所谓的“实验”。外媒报道称,事件源于一篇研究论文,明尼苏达大学研究人员在其中提到了于 Linux 内核主线中有意秘密植入的相关漏洞。针对此事,该校计算机科学与工程系已于昨日发表了一份公开声明声明中写道:系领导已于当日获知该校某教职员工和研究生正在研究的 Linux 内核安全

  • 黑客大佬去世 年仅42岁:曾发现DNS漏洞拯救了互联网

    本周六,安全研究员 Marc Rogers 在推特上发布一则消息,称 Dan Kaminsky 已经去世。Marc Rogers 表示:我想现在已经无法掩饰了。昨天,我们失去了丹·卡明斯基。他是信息安全领域最耀眼的明星之一,也可能是我认识的最善良的灵魂。Dan Kaminsky 的生命,永远停在了 42 岁这一年。关于他的死亡原因,目前尚未公开。发现DNS漏洞,一战成名Dan Kaminsky 最早被大众所知,是在 2008 年。当时,他发现了互联网域名系统(DNS)的底层设?

  • 2020 年超过 580 个 WordPress 漏洞被披露

    根据网站安全公司 Patchstack(前身为 WebARX)的一份新报告,2020年有超过580个 WordPress 漏洞被披露,但其中绝大部分影响到第三方插件和主题,而不是 WordPress 核心。

  • [图]Signal向手机数据提取工具Cellebrite宣战:使用过时DLL存在诸多漏洞

    Signal 近日悄然向智能手机数据提取工具 Cellebrite 宣战,强烈暗示它将更新其安全信息应用,绝不向在任何执法过程中使用该争议分析工具的行为妥协。Cellebrite 提供了许多数据分析设备中的一种方式,承诺可以从 Android 和 iPhone 手机中提取包括短信、通话和 SIM 卡记录的相关信息。鉴于美国相关的隐私法律,这种破解方式被认为是获取“数字情报”的一个争议点。尽管 Cellebrite 将其 "UFED "系统推销给执法机构和企业,但它也被

  • 新的WhatsApp账户管理漏洞会让用户无限期地被拒绝登录

    WhatsApp目前正面临着可能存在的最严重的漏洞之一。据安全研究人员称,WhatsApp中存在一个安全问题,可能会导致更多用户被动地永远离开WhatsApp。恶意攻击者可以轻易地利用这个漏洞,将受害者的WhatsApp账户锁定,并且时间还是无限期的。根据研究人员Luis Márquez Carpintero和Ernesto Canales Pere?a谈到,攻击者甚至不需要任何特定的软件或培训,他们可以利用这个问题,而这一切只需要找到受害人的电话号码就可以。那么,这一漏

  • 热门标签

热文

  • 3 天
  • 7天