https://support.apple.com/en-us/HT213635
https://support.apple.com/en-us/HT213633
https://support.apple.com/en-us/HT213638
苹果周一推出了针对iOS、iPadOS、macOS和Safari 的安全更新,以解决据称已在野外被积极利用的零日漏洞。
该问题编号为CVE-2023-23529,与 WebKit 浏览器引擎中的类型混淆错误有关,该错误可能在处理恶意制作的 Web 内容时被激活,最终导致任意代码执行。
这家 iPhone 制造商表示,该漏洞已通过改进检查得到解决,并补充说它“知道一份报告称这个问题可能已被积极利用”。一位匿名研究人员报告了该漏洞。
目前尚不清楚该漏洞是如何在现实世界的攻击中被利用的,但这是继 CVE-2022-42856 之后 Apple在 12 月关闭的CVE-2022-42856之后的第二个被 Apple 修补的 WebKit 中被滥用的类型混淆漏洞2022.
关于 iOS 16.3.1 和 iPadOS 16.3.1 的安全内容本文档描述了 iOS 16.3.1 和 iPadOS 16.3.1 的安全内容。 关于 Apple 安全更新为了保护我们的客户,Apple 不会披露、讨论或确认安全问题,直到进行调查并提供补丁或版本。Apple 安全更新页面上列出了最新版本 。 Apple 安全文档 尽可能通过CVE-ID引用漏洞。 有关安全的更多信息,请参阅 Apple 产品安全 页面。
iOS 16.3.1 和 iPadOS 16.3.12023 年 2 月 13 日发布 核心 适用于:iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型 影响:应用或许能够使用内核权限执行任意代码 描述:已通过改进内存管理解决释放后使用问题。 CVE-2023-23514:盘古实验室的 Xinru Chi、谷歌零计划的 Ned Williamson 网络套件 适用于:iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型 影响:处理恶意制作的网页内容可能会导致任意代码执行。Apple 获悉一份报告称此问题可能已被积极利用。 描述:已通过改进检查解决类型混淆问题。 WebKit Bugzilla:251944
额外认可我们要感谢多伦多大学蒙克学院的公民实验室提供的帮助。 有关非 Apple 制造的产品或不受 Apple 控制或测试的独立网站的信息,未经推荐或认可而提供。Apple 对第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对第三方网站的准确性或可靠性不作任何陈述。有关其他信息,请联系供应商。 出版日期: |
关于 macOS Ventura 13.2.1 的安全内容本文档描述了 macOS Ventura 13.2.1 的安全内容。 关于 Apple 安全更新为了保护我们的客户,Apple 不会披露、讨论或确认安全问题,直到进行调查并提供补丁或版本。Apple 安全更新页面上列出了最新版本 。 Apple 安全文档 尽可能通过CVE-ID引用漏洞。 有关安全的更多信息,请参阅 Apple 产品安全 页面。
macOS 文图拉 13.2.12023 年 2 月 13 日发布 核心 适用于:macOS Ventura 影响:应用或许能够使用内核权限执行任意代码 描述:已通过改进内存管理解决释放后使用问题。 CVE-2023-23514:盘古实验室的 Xinru Chi、谷歌零计划的 Ned Williamson 捷径 适用于:macOS Ventura 影响:应用或许能够观察到未受保护的用户数据 描述:已通过改进对临时文件的处理解决隐私问题。 CVE-2023-23522: Wenchao Li and Xiaolong Bai of Alibaba Group 网络套件 适用于:macOS Ventura 影响:处理恶意制作的网页内容可能会导致任意代码执行。Apple 获悉一份报告称此问题可能已被积极利用。 描述:已通过改进检查解决类型混淆问题。 WebKit Bugzilla:251944
有关非 Apple 制造的产品或不受 Apple 控制或测试的独立网站的信息,未经推荐或认可而提供。Apple 对第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对第三方网站的准确性或可靠性不作任何陈述。有关其他信息,请联系供应商。 出版日期: |
关于Safari 16.3.1的安全内容本文档描述了 Safari 16.3.1 的安全内容。 关于 Apple 安全更新为了保护我们的客户,Apple 不会披露、讨论或确认安全问题,直到进行调查并提供补丁或版本。Apple 安全更新页面上列出了最新版本 。 Apple 安全文档 尽可能通过CVE-ID引用漏洞。 有关安全的更多信息,请参阅 Apple 产品安全 页面。
Safari 16.3.12023 年 2 月 13 日发布 网络套件 适用于:macOS Big Sur 和 macOS Monterey 影响:处理恶意制作的网页内容可能会导致任意代码执行。Apple 获悉一份报告称此问题可能已被积极利用。 描述:已通过改进检查解决类型混淆问题。 WebKit Bugzilla:251944 有关非 Apple 制造的产品或不受 Apple 控制或测试的独立网站的信息,未经推荐或认可而提供。Apple 对第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对第三方网站的准确性或可靠性不作任何陈述。有关其他信息,请联系供应商。 出版日期: |
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(祺印说信安):苹果多个系统受到新零日漏洞的威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论