苹果多个系统受到新零日漏洞的威胁

admin
admin
admin
139312
文章
114
评论
2023年2月16日08:53:25评论70 views字数 4709阅读15分41秒阅读模式

https://support.apple.com/en-us/HT213635

https://support.apple.com/en-us/HT213633

https://support.apple.com/en-us/HT213638

苹果周一推出了针对iOS、iPadOSmacOSSafari 的安全更新,以解决据称已在野外被积极利用的零日漏洞。

该问题编号为CVE-2023-23529,与 WebKit 浏览器引擎中的类型混淆错误有关,该错误可能在处理恶意制作的 Web 内容时被激活,最终导致任意代码执行。

这家 iPhone 制造商表示,该漏洞已通过改进检查得到解决,并补充说它“知道一份报告称这个问题可能已被积极利用”。一位匿名研究人员报告了该漏洞。

目前尚不清楚该漏洞是如何在现实世界的攻击中被利用的,但这是继 CVE-2022-42856 之后 Apple在 12 月关闭的CVE-2022-42856之后的第二个被 Apple 修补的 WebKit 中被滥用的类型混淆漏洞2022.

关于 iOS 16.3.1 和 iPadOS 16.3.1 的安全内容

本文档描述了 iOS 16.3.1 和 iPadOS 16.3.1 的安全内容。

关于 Apple 安全更新

为了保护我们的客户,Apple 不会披露、讨论或确认安全问题,直到进行调查并提供补丁或版本。Apple 安全更新页面上列出了最新版本  。

Apple 安全文档  尽可能通过CVE-ID引用漏洞。

有关安全的更多信息,请参阅 Apple 产品安全 页面。

苹果多个系统受到新零日漏洞的威胁

iOS 16.3.1 和 iPadOS 16.3.1

2023 年 2 月 13 日发布

核心

适用于:iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型

影响:应用或许能够使用内核权限执行任意代码

描述:已通过改进内存管理解决释放后使用问题。

CVE-2023-23514:盘古实验室的 Xinru Chi、谷歌零计划的 Ned Williamson

网络套件

适用于:iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型

影响:处理恶意制作的网页内容可能会导致任意代码执行。Apple 获悉一份报告称此问题可能已被积极利用。

描述:已通过改进检查解决类型混淆问题。

WebKit Bugzilla:251944
CVE-2023-23529:一位匿名研究人员

苹果多个系统受到新零日漏洞的威胁

额外认可

我们要感谢多伦多大学蒙克学院的公民实验室提供的帮助。

有关非 Apple 制造的产品或不受 Apple 控制或测试的独立网站的信息,未经推荐或认可而提供。Apple 对第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对第三方网站的准确性或可靠性不作任何陈述。有关其他信息,请联系供应商。

出版日期: 

苹果多个系统受到新零日漏洞的威胁



关于 macOS Ventura 13.2.1 的安全内容

本文档描述了 macOS Ventura 13.2.1 的安全内容。

关于 Apple 安全更新

为了保护我们的客户,Apple 不会披露、讨论或确认安全问题,直到进行调查并提供补丁或版本。Apple 安全更新页面上列出了最新版本  。

Apple 安全文档  尽可能通过CVE-ID引用漏洞。

有关安全的更多信息,请参阅 Apple 产品安全 页面。

苹果多个系统受到新零日漏洞的威胁

macOS 文图拉 13.2.1

2023 年 2 月 13 日发布

核心

适用于:macOS Ventura

影响:应用或许能够使用内核权限执行任意代码

描述:已通过改进内存管理解决释放后使用问题。

CVE-2023-23514:盘古实验室的 Xinru Chi、谷歌零计划的 Ned Williamson

捷径

适用于:macOS Ventura

影响:应用或许能够观察到未受保护的用户数据

描述:已通过改进对临时文件的处理解决隐私问题。

CVE-2023-23522: Wenchao Li and Xiaolong Bai of Alibaba Group

网络套件

适用于:macOS Ventura

影响:处理恶意制作的网页内容可能会导致任意代码执行。Apple 获悉一份报告称此问题可能已被积极利用。

描述:已通过改进检查解决类型混淆问题。

WebKit Bugzilla:251944
CVE-2023-23529:一位匿名研究人员

苹果多个系统受到新零日漏洞的威胁

有关非 Apple 制造的产品或不受 Apple 控制或测试的独立网站的信息,未经推荐或认可而提供。Apple 对第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对第三方网站的准确性或可靠性不作任何陈述。有关其他信息,请联系供应商。

出版日期: 


关于Safari 16.3.1的安全内容

本文档描述了 Safari 16.3.1 的安全内容。

关于 Apple 安全更新

为了保护我们的客户,Apple 不会披露、讨论或确认安全问题,直到进行调查并提供补丁或版本。Apple 安全更新页面上列出了最新版本  。

Apple 安全文档  尽可能通过CVE-ID引用漏洞。

有关安全的更多信息,请参阅 Apple 产品安全 页面。

苹果多个系统受到新零日漏洞的威胁

Safari 16.3.1

2023 年 2 月 13 日发布

网络套件

适用于:macOS Big Sur 和 macOS Monterey

影响:处理恶意制作的网页内容可能会导致任意代码执行。Apple 获悉一份报告称此问题可能已被积极利用。

描述:已通过改进检查解决类型混淆问题。

WebKit Bugzilla:251944
CVE-2023-23529:一位匿名研究人员

有关非 Apple 制造的产品或不受 Apple 控制或测试的独立网站的信息,未经推荐或认可而提供。Apple 对第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对第三方网站的准确性或可靠性不作任何陈述。有关其他信息,请联系供应商。

出版日期: 

思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求

网络安全等级保护:移动互联安全扩展测评PPT

300多页网络安全知识小册子2023版下载

网络安全等级保护:网络安全等级保护安全设计技术要求PPT

全国网络安全等级测评与检测评估机构目录

分析显示:98% 的公司的供应链关系已被破

2023年五个关键网络安全趋势

15个网络安全等级保护和等级测评PPT课件打包下载


网络安全的下一步是什么
网络安全等级保护:第三级网络安全设计技术要求整理汇总
网络安全等级保护:信息安全服务提供方管理要求
网络安全对抗行为(十八):用于了解恶意操作的模型及攻击归因和结论
网络安全对抗行为(十九):词汇表
网络安全培训:如何建立网络意识的企业文化
网络安全取证(九)操作系统分析之存储取证
网络安全取证(十)操作系统分析之存储取证
网络安全取证(十二)数据恢复和文件内容雕刻
网络安全取证(十六)云取证
网络安全取证(十七)伪影分析
网络安全取证(十三)数据恢复和文件内容雕刻(下)
网络安全取证(十一)操作系统分析之块设备分析
网络安全运营和事件管理(二十):执行-缓解和对策之拒绝服务
网络安全运营和事件管理(二十二):执行-缓解和对策之站点可靠性工程
网络安全运营和事件管理(二十六):知识-智能和分析之态势感知
网络安全运营和事件管理(二十七):人为因素:事件管理
网络安全运营和事件管理(二十三):知识-智能和分析之网络安全知识管理
网络安全运营和事件管理(二十四):知识-智能和分析之蜜罐和蜜网
网络安全运营和事件管理(二十五):知识-智能和分析之网络威胁情报
网络安全运营和事件管理(二十一):执行-缓解和对策之SIEM平台和对策
网络安全运营和事件管理(十八):计划-警报关联
网络安全运营和事件管理(十九):执行-缓解和对策之入侵防御系统
网络安全运营和事件管理(十六):分析之基准利率谬误
网络安全运营和事件管理(十七):计划-安全信息和事件管理及数据收集
网络安全运营和事件管理(一):简介
网络安全之事件管理
网络安全之云计算的安全风险
网络安全知识:什么是社会工程学
网络安全知识体系1.1对抗行为(十七):用于了解恶意操作的模型之地下经济建模为资本流动
网络安全知识体系1.1对抗行为(十三):恶意操作的要素之支付方式
网络安全知识体系1.1恶意软件和攻击技术(六):恶意软件分析
网络安全知识体系1.1恶意软件和攻击技术(十三):恶意软件响应及中断
网络安全知识体系1.1法律法规(二十)信息系统犯罪的执法与处罚
网络安全知识体系1.1法律法规(二十八)法律约束—合同
网络安全知识体系1.1法律法规(二十九)侵权行为
网络安全知识体系1.1法律法规(二十六)违约和补救措施
网络安全知识体系1.1法律法规(二十七)合同对非缔约方的影响
网络安全知识体系1.1法律法规(二十五)责任限制和责任排除
网络安全知识体系1.1法律法规(二十一)不受欢迎的自助:软件锁定和黑客攻击
网络安全知识体系1.1法律法规(九)数据主权问题
网络安全知识体系1.1法律法规(三十)  对缺陷产品严格负责
网络安全知识体系1.1法律法规(三十八)国际待遇和法律冲突
网络安全知识体系1.1法律法规(三十二)赔偿责任的数额
网络安全知识体系1.1法律法规(三十九)互联网中介机构-免于承担责任和撤销程序
网络安全知识体系1.1法律法规(三十六)执行–补救措施
网络安全知识体系1.1法律法规(三十七)逆向工程
网络安全知识体系1.1法律法规(三十三)
网络安全知识体系1.1法律法规(三十三)归因、分摊和减少侵权责任
网络安全知识体系1.1法律法规(三十四)法律冲突–侵权行为
网络安全知识体系1.1法律法规(三十五)知识产权
网络安全知识体系1.1法律法规(三十一)  限制责任范围:法律因果关系
网络安全知识体系1.1法律法规(十)国际人权法的基础
网络安全知识体系1.1法律法规(十八)执行和处罚
网络安全知识体系1.1法律法规(十二)国家以外的人的拦截
网络安全知识体系1.1法律法规(十九)电脑犯罪
网络安全知识体系1.1法律法规(十六)国际数据传输
网络安全知识体系1.1法律法规(十七)  个人数据泄露通知
网络安全知识体系1.1法律法规(十三)数据保护
网络安全知识体系1.1法律法规(十四)核心监管原则
网络安全知识体系1.1法律法规(十五)适当的安全措施
网络安全知识体系1.1法律法规(十一)国家拦截
网络安全知识体系1.1法律法规(四十)文件非物质化和电子信托服务
网络安全知识体系1.1法律法规(四十二)国际公法
网络安全知识体系1.1法律法规(四十三)其他监管事项
网络安全知识体系1.1法律法规(四十四)结论:法律风险管理
网络安全知识体系1.1法律法规(四十一)  伦理学
网络安全知识体系1.1风险管理和治理(八)安全度量
网络安全知识体系1.1风险管理和治理(九)业务连续性
网络安全知识体系1.1风险管理和治理(六)脆弱性管理
网络安全知识体系1.1风险管理和治理(七)风险评估和管理
网络安全知识体系1.1风险管理和治理(十)结论
网络安全知识体系1.1风险管理和治理(五)风险评估与管理方法(下)
网络安全知识体系1.1人为因素(二):可用的安全性——基础
网络安全知识体系1.1人为因素(一):了解安全中的人类行为
网络安全知识体系1.1隐私和在线权利(八):隐私作为透明度及基于反馈的透明度
网络安全知识体系1.1隐私和在线权利(九):隐私作为透明度及基于审计的透明度
网络安全知识体系1.1隐私和在线权利(六):隐私作为控制之支持隐私设置配置
网络安全知识体系1.1隐私和在线权利(七):隐私作为控制之支持隐私政策谈判和可解释性



原文始发于微信公众号(祺印说信安):苹果多个系统受到新零日漏洞的威胁

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月16日08:53:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   苹果多个系统受到新零日漏洞的威胁https://cn-sec.com/archives/1554681.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息