聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果公司在安全公告中指出,“苹果已注意到该漏洞可能遭活跃利用的报告。”这三个漏洞均位于多平台的 WebKit 浏览器引擎中,编号为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。
CVE-2023-32409是一个沙箱逃逸漏洞,可导致远程攻击者公婆 Web Content 沙箱。其它两个漏洞是界外读漏洞,一个有助于攻击者获得访问敏感信息的权限,一个是可导致在受陷设备上实现任意代码执行的释放后使用漏洞,这两个漏洞均要求目标加载恶意构造的网页(web 内容)。
苹果已在 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5和 Safari 16.5 改进边界检查、输入验证和内存管理,修复了这三个漏洞。
由于影响新老机型,因此受影响设备数量庞大,包括:
-
iPhone 6s(所有机型)、iPhone 7(所有机型)、iPhone SE(第一代)、iPad Air 2、iPad mini(第4代)、iPod touch(第7代)以及iPhone 8 及后续版本。
-
iPad Pro(所有机型)、iPad Air 第3代及后续版本、iPad 第5代及后续版本以及 iPad mini 第5代及后续版本。
-
运行 macOS Big Sur、Monterey 和 Ventura 的 Mac 设备
-
Apple Watch 系列4及后续版本
-
Apple TV 4K(所有机型)及 Apple TV HD
苹果公司还表示,CVE-2023-28204和CVE-2023-32373(由匿名研究员报送)在5月1日通过为 iOS 16.41和 macOS 13.3.1 设备发布快速安全响应 (RSR) 补丁的方式修复。
苹果公司发言人并未回复5月份的RSR 更新所修复漏洞的更多详情。
虽然苹果公司表示已意识到这三个 0day 已遭利用,但并未分享任何相关信息。不过今天发布的安全公告显示,CVE-2023-32409由谷歌威胁分析团队研究员 Clément Lecigne 和 Amnesty International 公司安全实验室的研究员 Donncha Ó Cearbhaill 发现并报告。这两家公司定期披露关于国家黑客组织在政客、记者、异见人士等人群的智能手机和计算机上部署恶意软件。
4月份,苹果修复了两个0day漏洞CVE-2023-28206和CVE-2023-28205。这两个漏洞是由安卓、iOS 和 Chrome 0day 和 nday 漏洞组成的在野利用链的一部分,被用于在高危目标设备上安装商业间谍软件。2月份,苹果公司修复了 WebKit 0day 漏洞CVE-2023-23529,该漏洞被用于在易受攻击的 iPhone、iPad 和 Mac 设备上执行代码。
https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):苹果修复3个已遭利用的新 0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论