-赛博昆仑漏洞安全通告-
漏洞描述
苹果设备是由美国苹果(Apple)公司设计和制造的产品系列,包括iPhone、iPad、Mac、Apple Watch等。苹果设备通常具有卓越的性能和稳定的操作系统,iOS和macOS操作系统都经过优化,能够提供流畅、高效的用户体验,且相对较少出现崩溃或冲突的问题。由于强大的性能和稳定的操作系统,其拥有众多使用用户。
近日,赛博昆仑CERT监测到Apple官方发布了多个产品高危漏洞,包括两个任意代码执行漏洞,分别是CVE-2023-41064和CVE-2023-41061,涉及以下系统:iOS、ipadOS、macOS Ventura和watchOS。攻击者通过 iMessage 发送携带恶意图片的 PassKit 附件信息,可以在受害者的 iPhone 上远程执行任意代码。ImageIO 和 PassKit 都是系统提供的 framework, 攻击者将带有精心构造的图片放在 PassKit 里从而触发 ImageIO 的缓冲区溢出漏洞。
|
漏洞名称 |
Apple多个产品任意代码执行漏洞 |
||
|
漏洞公开编号 |
CVE-2023-41064 |
||
|
昆仑漏洞库编号 |
CYKL-2023-013918 |
||
|
漏洞类型 |
任意代码执行 |
公开时间 |
2023-09-07 |
|
漏洞等级 |
高危 |
CVSS评分 |
暂无 |
|
漏洞描述 |
ImageI/O框架中的一个缓冲区溢出漏洞,它允许应用程序读取和写入大多数图像文件格式。该漏洞可由恶意构建的映像触发,并可导致任意代码执行。 |
||
|
PoC状态 |
未知 |
EXP状态 |
未知 |
|
在野利用 |
已知 |
漏洞细节 |
未知 |
|
漏洞名称 |
Apple钱包任意代码执行漏洞 |
||
|
漏洞公开编号 |
CVE-2023-41061 |
||
|
昆仑漏洞库编号 |
CYKL-2023-013919 |
||
|
漏洞类型 |
任意代码执行 |
公开时间 |
2023-09-07 |
|
漏洞等级 |
高危 |
CVSS评分 |
暂无 |
|
漏洞描述 |
苹果钱包中的一个验证问题,用户可以在其中存储支付卡、ID、活动门票、旅行票等。该漏洞可以通过恶意制作的附件触发,并可能导致任意代码执行。 |
||
|
PoC状态 |
未知 |
EXP状态 |
未知 |
|
在野利用 |
已知 |
漏洞细节 |
未知 |
CVE-2023-41064:iOS <16.6.1, iPadOS <16.6.1, macOS Ventur<13.5.2
CVE-2023-41061:iOS <16.6.1, iPadOS<16.6.1, watchOS<9.6.2
-
修复建议
目前,官方已发布苹果产品的更新,建议受影响的用户尽快升级至安全版本:iOS >= 16.6.1, iPadOS >= 16.6.1, watchOS>=9.6.2, macOS Ventura>=13.5.2
-
技术业务咨询
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
参考链接
原文始发于微信公众号(赛博昆仑CERT):Apple任意代码执行漏洞(CVE-2023-41064、CVE-2023-41061)风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论