CISA 命令政府机构修补在攻击中利用的 iPhone 漏洞

admin 2023年5月23日11:43:33评论24 views字数 1213阅读4分2秒阅读模式

CISA 命令政府机构修补在攻击中利用的 iPhone 漏洞

美国网络安全和基础设施安全局 (CISA) 下令联邦机构解决三个最近修补的影响 iPhone、Mac 和 iPad 的零日漏洞

这些漏洞已知会在攻击中被利用。

这些安全漏洞被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373,它们都存在于 WebKit 浏览器引擎中。

它们允许攻击者逃离浏览器沙箱,访问受感染设备上的敏感信息,并在成功利用后实现任意代码执行。

该公司在描述这些漏洞时表示:苹果公司知道一份报告称这个问题可能已被积极利用。

macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 通过改进边界检查、输入验证和内存管理解决了三个零日漏洞

受影响设备的完整列表非常广泛,包括以下内容:

  • iPhone 6s(所有机型)
    iPhone 7(所有机型)
    iPhone SE(第 1 代)
    iPad Air 2
    iPad mini(第 4 代)
    iPod touch(第 7 代) 
    iPhone 8 及更新机型
  • iPad Pro(所有机型)
    iPad Air 第三代及更新机型
    iPad 第五代及更新机型
    iPad mini 第五代及更新机型
  • 运行 macOS Big Sur、Monterey 、Ventura 的 Mac
  • Apple Watch Series 4 及更新机型
  • Apple TV 4K(所有型号)和 Apple TV HD

可能在国家支持的间谍软件攻击中被利用

尽管 Apple 没有提供有关漏洞被滥用的攻击的具体细节,但它确实表明 CVE-2023-32409 是由谷歌威胁分析小组的 Clément Lecigne 和国际安全实验室的 Donncha Ó Cearbhaill 报告的。

这两位研究人员及其各自的组织经常披露有关国家发起的活动的信息,这些活动利用零日漏洞在政客、记者、持不同政见者和其他个人的设备上安装监视间谍软件,进行高度针对性的攻击。

他们在 3 月份披露了最近两次使用 Android、iOS 和 Chrome 漏洞的复杂利用链来安装雇佣间谍软件的活动的详细信息,其中之一是 CISA周五警告的三星 ASLR 绕过漏洞。

补丁截止日期 6 月 12 日

根据 2022 年 11 月发布的具有约束力的操作指令 (BOD 22-01),联邦民用行政分支机构 (FCEB) 必须为其系统应用补丁,以解决 CISA已知被利用漏洞目录中列出的所有安全漏洞。

通过今天的更新,FCEB 机构需要在 2023 年 6 月 12 日之前保护其 iOS、iPadOS 和 macOS 设备。

尽管主要针对美国联邦机构,但强烈建议私营公司也高度重视修复攻击中利用的漏洞 KEV 列表中包含的漏洞。

CISA 周一表示:这些类型的漏洞是恶意网络行为者的常见攻击媒介,并对联邦企业构成重大风险。

4 月,联邦机构还被警告要保护其网络上的 iPhone 和 Mac 免受谷歌 TAG 和国际特赦组织安全研究人员报告的另一对 iOS 和 macOS 安全漏洞。

原文始发于微信公众号(网络研究院):CISA 命令政府机构修补在攻击中利用的 iPhone 漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月23日11:43:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CISA 命令政府机构修补在攻击中利用的 iPhone 漏洞http://cn-sec.com/archives/1752834.html

发表评论

匿名网友 填写信息