苹果发布了紧急安全更新,以修补针对iPhone和iPad的攻击中利用的新的零日安全漏洞;用户。
“苹果知道有报告称,iOS 16.6之前的iOS版本可能已经积极利用了这个问题。”
该公司表示
在周三发布的一份公告中。
零日(CVE-2023-42824)是由XNU内核中发现的一个弱点引起的;使本地攻击者能够升级未修补的iPhone和iPad的权限。
虽然苹果表示,它通过改进的检查解决了iOS 17.0.3和iPadOS 17.0.3中的安全问题,但尚未透露是谁发现并报告了该缺陷。
受影响设备的列表非常广泛,其中包括:
- iPhone XS及更高版本
- iPad Pro 12.9英寸第二代及更高版本、iPad Pro 10.5英寸、iPad Pro 11英寸第一代及更大版本、iPad Air第三代及更晚版本、iPad第六代及更新版本、iPad mini第五代及更广版本
苹果还将零日追踪为
CVE-2023-5217
;由
堆溢出
开源libvpx视频编解码器库的VP8编码的弱点,这可能;允许在成功利用后执行任意代码。
;libvpx错误以前由
谷歌
;在Chrome浏览器中
微软
;在其Edge、Teams和Skype产品中。
CVE-2023-5217是由安全研究员Clé;ment Leigne,他是谷歌威胁分析小组(TAG)的一员,该小组由安全专家组成;以经常发现;在政府支持的有针对性的间谍软件攻击中滥用零天;针对高危人群。
今年修复的攻击中利用了17个零天
CVE-2023-42824是第17个;自事件开始以来,Apple已修复攻击中利用的零日漏洞;年
苹果最近还修补了另外三个零日漏洞(
CVE-2023-41991、CVE-2023-4 1992和CVE-2023 1993
)报告人;公民实验室和谷歌TAG研究人员,并在间谍软件攻击中利用;安装Cytrox的Predator间谍软件。
公民实验室披露;
另外两个零日
;(CVE-2023-41061和CVE-2023-4 1064)—由苹果上个月修复—作为;
零点击攻击链(称为BLASTPASS)
;感染;使用NSO集团的Pegasus间谍软件完全修补的iPhone。
自2023年1月以来,苹果公司已解决了总共17个利用零日;目标iPhone和Mac,包括:
- 两个零天
;(CVE-2023-37450和CVE-2023-3 8606)7月 - 三零天
;(CVE-2023-32434、CVE-2023-3 2435和CVE-202-3 2439)6月 - 再过三天零
;(CVE-2023-32409、CVE-2023-28204和CVE-20232373) - 两个零天
;(CVE-2023-28206和CVE-2023-2025)4月 - 以及;
另一个WebKit零日
;(CVE-2023-23529)二月
今天的;iOS 17.0.3版本还解决了导致运行iOS 17.0.2及更低版本的iPhone过热的已知问题。
“此更新提供了重要的错误修复、安全更新,并解决了可能导致iPhone运行温度高于预期的问题。”
苹果表示
。
如若转载,请注明出处:https://www.ozabc.com/un/536902.html