苹果警告3个影响iPhone,iPad和Mac设备的新漏洞

admin 2023年2月25日22:17:25评论18 views字数 806阅读2分41秒阅读模式

苹果警告3个影响iPhone,iPad和Mac设备的新漏洞

苹果修改了上个月发布的安全建议,包括影响iOS、iPadOS和macOS的三个新漏洞。第一个缺陷是Crash Reporter组件(CVE-2023-23520)中的竞争条件,这可能使恶意参与者能够以root身份读取任意文件。iPhone制造商表示,他们通过额外的验证解决了这个问题。Trellix研究人员Austin Emmitt发现的另外两个漏洞存在于Foundation框架(CVE-2023-23530和CVE-2023-203531)中,可以通过武器化实现代码执行。

苹果公司表示:“一个应用程序可能能够在沙盒外执行任意代码,或者使用某些提升的权限执行任意代码。”苹果公司补充道,它通过“改进的内存处理”解决了这些问题已在2023年1月23日发布的iOS 16.3、iPadOS 16.3和macOS Ventura 13.2中修补了中到高严重性漏洞。

苹果警告3个影响iPhone,iPad和Mac设备的新漏洞

Trellix在其周二的报告中将这两个缺陷归类为“一类新的bug,允许绕过代码签名在多个平台应用程序的上下文中执行任意代码,导致macOS和iOS上的特权升级和沙盒逃脱”这些漏洞还绕过了苹果为解决诸如FORCEENTRY等零点击漏洞而采取的缓解措施,以色列雇佣间谍软件供应商NSO Group利用这些漏洞在目标设备上部署Pegasus。因此,威胁参与者可以利用这些漏洞突破沙盒,并使用提升的权限执行恶意代码,从而可能授予日历、通讯簿、消息、位置数据、通话记录、摄像头、麦克风和照片的访问权限。

更令人担忧的是,这些安全缺陷可能被滥用来安装任意应用程序,甚至擦除设备。也就是说,利用漏洞需要攻击者已经在其中取得初步立足点。埃米特表示:“上述漏洞严重违反了macOS和iOS的安全模型,该模型依赖于单个应用程序能够细粒度访问所需的资源子集,并查询更高权限的服务以获取其他任何信息。

原文始发于微信公众号(黑猫安全):苹果警告3个影响iPhone,iPad和Mac设备的新漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月25日22:17:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  苹果警告3个影响iPhone,iPad和Mac设备的新漏洞 https://cn-sec.com/archives/1574812.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: