Apple 发布了紧急安全更新,以解决用于攻击 iPhone、iPad 和 Mac 的新零日漏洞。
今天修补的零日漏洞被跟踪为 CVE-2023-23529 [1, 2],这是一个 WebKit 混淆问题,可被利用来触发操作系统崩溃并在受感染的设备上执行代码。
成功利用后,攻击者可以在打开恶意网页后在运行易受攻击的 iOS、iPadOS 和 macOS 版本的设备上执行任意代码(该错误还会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1)。
“处理恶意制作的 Web 内容可能会导致任意代码执行。Apple 知道一份报告称此问题可能已被积极利用,”Apple 在描述零日漏洞时表示。
“我们要感谢多伦多大学芒克学院的公民实验室提供的帮助。”
Apple 通过改进 iOS 16.3.1、iPadOS 16.3.1 和 macOS Ventura 13.2.1 中的检查解决了 CVE-2023-23529。
受影响设备的完整列表非常广泛,因为该错误会影响较旧和较新的型号,其中包括:
- iPhone 8 及更新机型
- iPad Pro(所有型号)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型
- 运行 macOS Ventura 的 Mac
今天,Apple 还修补了一个内核使用后免费漏洞 (CVE-2023-23514),该漏洞由盘古实验室的 Xinru Chi 和 Google Project Zero 的 Ned Williamson 报告,该漏洞可能导致在 Mac 上使用内核权限执行任意代码 和 iPhone。
Apple 今年修复的第一个零日漏洞
虽然该公司透露它知道野外利用报告,但它尚未发布有关这些攻击的信息。
通过限制对这些信息的访问,Apple 可能希望允许尽可能多的用户更新他们的设备,然后更多的攻击者会利用零日漏洞的详细信息来开发和部署他们自己的针对易受攻击的 iPhone、iPad 和 Mac。
虽然此零日错误可能仅用于有针对性的攻击,但强烈建议尽快安装今天的紧急更新以阻止潜在的攻击企图。
上个月,Apple 还向后移植了针对旧款 iPhone 和 iPad 的安全补丁,以解决由 Google 威胁分析小组的 Clément Lecigne 发现的可远程利用的零日漏洞。
如若转载,请注明出处:https://www.ozabc.com/it/534761.html