一、 基本情况

3月26日，Apple发布了针对iPhone，iPad和Apple Watch的安全更新，其中修复了WebKit存在一个零日漏洞。攻击者可通过构造恶意的web页面，利用该漏洞发起XSS攻击，从而获取敏感信息、如用户凭证、cookie会话等。目前该漏洞细节尚未披露，据称已被在野攻击利用，Apple官方强烈建议用户及时进行更新系统，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 漏洞描述

WebKit是苹果开发的一个浏览器引擎，它主要为Safari网络浏览器提供动力，其他iOS网络浏览器也依赖于WebKit。

攻击者可通过构造恶意的web页面，利用该漏洞发起XSS攻击，从而获取敏感信息、如用户凭证、cookie会话等。

三、 影响范围

iOS 12.5.2

受影响设备类型：Phone 5s，iPhone 6，iPhone 6 Plus，iPad Air，iPad mini 2，iPad mini 3，iPod touch (第6代)

iOS 14.4.2

受影响设备类型：iPhone 6s或更高版本, and iPod touch (第7代)

iPadOS 14.4.2

受影响设备类型：iPad Pro (所有版本)，iPad Air 2或更高版本，iPad 5th或更高版本，iPad mini 4或更高版本

watchOS 7.3.3

受影响设备类型：Apple Watch Series 3或更高版本

四、 安全建议

建议Apple设备的用户尽快更新至最新版本，以减轻该漏洞风险。

五、 参考链接

https://thehackernews.com/2021/03/apple-issues-urgent-patch-update-for.html?m=1

来源：https://cstis.cn/post/19287835-2885-fff3-11b4-3e7a8dc8ed74