网络安全

当前位置: 首页  网络安全

Apple WebKit跨站脚本漏洞(CVE-2021-1879)预警

2021年04月09日 浏览量: 226 来源: 网络与教育技术中心 作者: 发布: 人员机构



一、 基本情况

3月26日,Apple发布了针对iPhone,iPad和Apple Watch的安全更新,其中修复了WebKit存在一个零日漏洞。攻击者可通过构造恶意的web页面,利用该漏洞发起XSS攻击,从而获取敏感信息、如用户凭证、cookie会话等。目前该漏洞细节尚未披露,据称已被在野攻击利用,Apple官方强烈建议用户及时进行更新系统,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞描述

WebKit是苹果开发的一个浏览器引擎,它主要为Safari网络浏览器提供动力,其他iOS网络浏览器也依赖于WebKit。

攻击者可通过构造恶意的web页面,利用该漏洞发起XSS攻击,从而获取敏感信息、如用户凭证、cookie会话等。

三、 影响范围

iOS 12.5.2

受影响设备类型:Phone 5s,iPhone 6,iPhone 6 Plus,iPad Air,iPad mini 2,iPad mini 3,iPod touch (第6代)

iOS 14.4.2

受影响设备类型:iPhone 6s或更高版本, and iPod touch (第7代)

iPadOS 14.4.2

受影响设备类型:iPad Pro (所有版本),iPad Air 2或更高版本,iPad 5th或更高版本,iPad mini 4或更高版本

watchOS 7.3.3

受影响设备类型:Apple Watch Series 3或更高版本

四、 安全建议

建议Apple设备的用户尽快更新至最新版本,以减轻该漏洞风险。

五、 参考链接

https://thehackernews.com/2021/03/apple-issues-urgent-patch-update-for.html?m=1

来源:https://cstis.cn/post/19287835-2885-fff3-11b4-3e7a8dc8ed74