虽然修复程序流程已公布几个星期,但iPhone并未进行对 iOS 和 macOS 中具有的 WebKit 漏洞的修复。Apple Insider 强调,该漏洞由网络信息安全新成立公司 Theori 科学研究工作人员最先发觉,问题关键与 WebKit 中的 AudioWorklets 完成相关。除开将会引起 Safari 电脑浏览器的奔溃,Theori 也警示它是一个可被利用的种类搞混漏洞。
AudioWorklet 插口容许开发者操纵、3D渲染和輸出声频,但也为攻击者利用此漏洞在机器设备上实行恶意程序而打开了大门。
但是故意攻击者仍需绕开表针短信验证码(PAC),才可以在现实世界中进行进攻。做为一套减轻对策,PAC 强制性必须登陆密码签字,才可以在存储空间中实行编码。
开源系统开发者已于 5 月初修复了 AudioWorklet 漏洞(GitHub 传送器),但 Theori 科学研究工作人员 Tim Becker 警示称,该漏洞仍存有于最新版的 iOS 和 macOS 中。
在理想化状况下,从公布补丁包到稳定版公布的间隔时间会尽量小,但 AudioWorklet 漏洞或是让新版本 iOS 机器设备客户在几个星期内易受攻击。
在 Tim Becker 来看,欠缺修复程序流程的“空窗期空缺”是开源系统开发设计行业的一个重大风险。
由Google Project Zero 安全性精英团队公布的信息得知,自 2021 今年初至今,ios系统中国共产党有 7 个漏洞在野外被积极主动利用,且在其中已修复的好几个都和 WebKit 相关。