蘋果在 iOS 和 macOS 的更新中修補了三個被積極利用的零時差安全漏洞，其中一個可以允許攻擊者使用內核權限執行任意代碼。

蘋果週四發布了更新：iOS 12.5.5，它修補了影響舊版本 iPhone 和 iPod 設備的三個零時差漏洞，分別為 CVE-2021-30860、CVE-2021-30858 及 CVE-2021-30869，這三個漏洞都已存在可利用的攻擊程式。這此更新適用於 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch（第 6 代）。

CVE-2021-30869
这是位於蘋果作業系統所使用的 XNU 核心漏洞，由 Google 威脅分析小組的 Erye Hernandez 和 Clemente Lecigne 以及 Google 零日計劃的 Ian Beer 所發現，是一個類型混淆漏洞，允許惡意程式以核心權限執行任意程式。

CVE-2021-30860
這是一個整數溢位漏洞，位於蘋果圖像渲染函式庫 CoreGraphics，在處理一個惡意的PDF檔案時，可允許駭客執行任意程式。此漏洞前一陣子也被 Pegasus 間諜程式應用於監視巴林活動家。蘋果透過改進輸入驗證來解決此項漏洞。

CVE-2021-30858
位於 WebKit 引擎的釋放後使用漏洞，在處理惡意的網頁內容時可能造成任意程式執行。蘋果透過內存管理來解決了這個問題。
 

參考資料：
https://www.ithome.com.tw/news/146869
https://threatpost.com/apple-patches-zero-days-attack/174988/