苹果修补Sudo版程式漏洞

苹果昨日针对MacOS Big Sur、Catalina及Mojave释出安全更新，以修补包括Sudo程式在内的漏洞。

安全厂商Qualys一月底揭露，Sudo程式存在一个堆积缓冲溢位漏洞CVE-2021-3156，在预设组态情况下，任何本机用户都能传送sudoedit -s及以单反斜线（\\）结尾的指令行参数开采，取得主机上的根执行权限。之后安全研究人员Matthew Hickey则证实，除了Linux外，这个漏洞也会影响macOS及IBM AIX、Oracle Solaris系统，IBM及Oracle已先后释出修补。

苹果则是在昨日释出安全更新，解决macOS Big Sur 11.2、macOS Catalina 10.15.7和macOS Mojave 10.14.6上的sudo 1.9.5p2版本的漏洞。

此外，这次的安全更新还解决了Intel显卡驱动程式2项漏洞，包括CVE-2021-1805频外（out-of-bounds write）写入漏洞及CVE-2021-1806竞争条件（race condition）漏洞，两者都能让攻击者以核心权限执行任意程式码，两个漏洞都是由ABC Research和趋势科技下的Zero Day Initiative（ZDI）合作发现并通报苹果。

CVE-2021-1805及CVE-2021-1806影响macOS Big Sur和 Catalina，但不影响Big Sur。