点击上方蓝字关注我们
苹果周一更新了最近的几项安全公告,添加了新的iOS和macOS漏洞,其中包括新一类型的漏洞。
在最初于1月23日发布的iOS 16.3和macOS Ventura 13.2安全公告的更新中,公告上添加了三个漏洞。其中之一是CVE-2023-23520,这是一种影响崩溃报告组件的竞争条件漏洞,它可以允许攻击者以root身份读取任意文件。
苹果表示,另外两个漏洞会影响苹果操作系统中的“基础”组件,攻击者可以“在其沙盒外或以某些提升的权限执行任意代码”。这些漏洞被追踪为CVE-2023-23530和CVE-2023-203531,由Trellix公司向苹果报告。
在Trellix周二发布的博客中描述到,CVE-2023-23530和CVE-2023-203531这种新类型漏洞允许攻击者可以绕过macOS和iOS系统上的代码签名。
博客中提到,Trellix的分析建立在以前的研究和漏洞利用的基础上。这些漏洞与 iOS 安全研究人员 CodeColorist 在 2019 年和 2020 年进行的研究有关。CodeColorist当时描述的技术似乎激发了攻击者的灵感,他们在 2021 年使用Pegasus软件对iPhone设备实施了攻击。这些攻击中使用的漏洞被称为ForcedEntry。
尽管苹果于2021年9月已经采取措施防止利用,但Trelix研究人员发现,苹果的缓解措施可以被绕过,从而导致了“大量潜在漏洞”。有权访问目标系统的攻击者可以利用这些漏洞来破坏 iOS 和 macOS 上的进程隔离。根据目标进程的角色和权限,攻击者可以访问敏感信息(日历、地址簿、照片)、安装任意应用程序或监视用户。
除了一月份的iOS和macOS公告外,苹果周一还更新了其二月份的公告,增加了谷歌研究人员报告的拒绝服务(DoS)漏洞。
原文链接🔗
https://www.securityweek.com/apple-updates-advisories-as-security-firm-discloses-new-class-of-vulnerabilities/
往期推荐
原文始发于微信公众号(360漏洞研究院):行业资讯|苹果更新安全公告,添加新的 iOS 和 macOS 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论