Apple 急于修补 3 个新的零日漏洞：iOS、macOS、Safari 等易受攻击的漏洞

苹果公司周四宣布，其最新的操作系统更新修复了三个新的零日漏洞。根据报告这些缺陷的组织之前的工作，它们很可能被间谍软件供应商利用。

零日漏洞被追踪为 CVE-2023-41991（允许恶意应用程序绕过签名验证）、CVE-2023-41992（允许本地攻击者提升权限的内核缺陷）以及 CVE-2023-41993（WebKit）该漏洞可通过引诱目标用户访问恶意网页来执行任意代码。 

Apple 修复了Safari、iOS 和 iPadOS（包括版本17和16）、macOS（包括Ventura和Monterey）以及watchOS中的部分或全部漏洞。

值得注意的是，虽然这些操作系统都受到零日漏洞的影响，但苹果表示，它只知道针对 16.7 之前的 iOS 版本的主动利用。

苹果尚未分享有关利用新漏洞进行攻击的任何信息。然而，考虑到多伦多大学公民实验室小组和谷歌威胁分析小组的研究人员向科技巨头报告了这些事件，它们很可能被商业间谍软件供应商利用来攻击 iPhone。 

Citizen Lab 和 Apple 最近调查了涉及编号为 CVE-2023-41064 的零日漏洞的攻击。该安全漏洞是名为 BlastPass 的零点击漏洞的一部分，用于向 iPhone 传送 NSO 集团臭名昭著的 Pegasus 间谍软件。

在公民实验室调查的一次攻击中，间谍软件被交付给位于华盛顿特区的一个国际民间社会组织的一名员工。 

CVE-2023-41064 影响 WebP 图像格式。受影响的库也用于 Chrome 和 Firefox 网络浏览器，Google 和 Mozilla 也被迫发布紧急更新以解决零日漏洞，他们将其跟踪为 CVE-2023-4863。

多伦多大学芒克学院公民实验室的 Bill Marczak 和谷歌威胁分析小组 (TAG) 的 Maddie Stone 被认为发现并报告了这些缺陷，他们表示这些缺陷可能已被滥用，作为针对民用的高度针对性间谍软件的一部分。面临较高网络威胁风险的社会成员。

两周前，苹果公司解决了另外两个经常被利用的零日漏洞（CVE-2023-41061 和 CVE-2023-41064），这些漏洞被链接为名为 BLASTPASS 的零点击 iMessage 漏洞利用链的一部分，用于部署已知的雇佣间谍软件作为飞马座。

随后，Google和Mozilla都发布了包含安全漏洞 (CVE-2023-4863) 的修复程序，该漏洞可能导致在处理特制图像时执行任意代码。

有证据表明，CVE-2023-41064（Apple Image I/O 图像解析框架中的缓冲区溢出漏洞）和 CVE-2023-4863（WebP 图像库（libwebp）中的堆缓冲区溢出漏洞）都可以参考Isosceles 创始人兼前谷歌零号项目研究员 Ben Hawkes 表示，同样的错误。

Rezilion 在周四发布的一份分析中透露，libwebp 库被用于多个操作系统、软件包、Linux 应用程序和容器映像，并强调该漏洞的范围比最初假设的要广泛得多。

“好消息是，该错误似乎在上游 libwebp 中得到了正确的修补，并且该修补程序正在传播到它应该到达的任何地方，”霍克斯说。“坏消息是 libwebp 在很多地方都有使用，补丁可能需要一段时间才能达到饱和。”

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 回看等级保护：重要政策规范性文件43号文（上） 网络安全等级保护实施指南培训PPT 网络安全等级保护安全物理环境测评培训PPT 网络安全等级保护：等级保护测评过程要求PPT 网络安全等级保护：安全管理中心测评PPT 网络安全等级保护：安全管理制度测评PPT 网络安全等级保护：定级指南与定级工作PPT 网络安全等级保护：云计算安全扩展测评PPT 网络安全等级保护：工业控制安全扩展测评PPT 网络安全等级保护：移动互联安全扩展测评PPT 网络安全等级保护：第三级网络安全设计技术要求整理汇总 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：什么是等级保护？ 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 工业控制系统安全：DCS风险与脆弱性检测要求思维导图 去年针对工业组织的勒索软件攻击增加了一倍 工业安全远程访问渐增引发企业担心 工业控制系统安全：工控系统信息安全分级规范（思维导图） 有效保卫工业控制系统的七个步骤 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 Mozilla通过发布Firefox 111修补高危漏洞 Meta 开发新的杀伤链理论 最佳CISO如何提高运营弹性 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 低代码/无代码开发对安全性和生产力的影响 源代码泄漏是新的威胁软件供应商应该关心的吗？ 在2023年实施的9项数据安全策略 乌克兰是俄美网络战的“试验场” 网络安全知识：什么是日志留存？ 公安部公布十大典型案例

原文始发于微信公众号（祺印说信安）：Apple 急于修补 3 个新的零日漏洞：iOS、macOS、Safari 等易受攻击的漏洞