点击上方蓝字关注我们
苹果公司近日发布了紧急安全更新,其中修复了两个在攻击中利用并影响iPhone、iPad和Mac设备的0day漏洞。
自今年年初以来,苹果已修复了20个在野被利用的0day漏洞。
苹果在周三发布的公告中表示,“该漏洞可能已被用于攻击iOS 16.7.1之前的 iOS 版本。”
这两个漏洞(CVE-2023-42916和CVE-2023-4 2917)是在WebKit浏览器引擎中发现的,使攻击者能够通过越界读取漏洞访问敏感信息,并通过恶意制作的网页在易受攻击的设备上通过内存损坏漏洞执行任意代码。
苹果表示已经通过改进输入验证和锁定来修复运行iOS 17.1.2、iPadOS 17.1.2、macOS Sonoma 14.1.2和Safari 17.1.2的设备上的安全漏洞问题。
受影响的苹果设备列表相当广泛,其中包括:
-
iPhone XS 及更新机型 -
iPad Pro 12.9英寸第2代及更新机型、iPad Pro 10.5英寸、iPad Pro 11英寸第1代及更新机型、iPad Air 第3代及更新机型、iPad 第6代及更新机型以及 iPad mini 第5代及更新机型 -
运行 macOS Monterey、Ventura、Sonoma 的 Mac 谷歌威胁分析小组 (TAG) 的安全研究员Clément Lecigne发现并报告了这两个0day漏洞。
今年已有20个0day漏洞遭利用
CVE-2023-42916和CVE-2023-42917是苹果今年修复的第19个和第20个在攻击中被利用的0day漏洞。
Google TAG披露了XNU内核中的另一个0day漏洞 (CVE-2023-42824),使攻击者能够在易受攻击的iPhone和iPad上提升权限。
苹果最近修复了由Citizen Lab和Google TAG研究员报告的另外三个0day漏洞(CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993),威胁行为者可以利用这些漏洞来部署Predator间谍软件。
Citizen Lab披露了另外两个0day漏洞(CVE-2023-41061和CVE-2023-41064),作为零点击漏洞利用链(BLASTPASS)中的一部分,用于安装NSO Group 的Pegasus间谍软件。苹果已于9月修复了这两个漏洞。
自今年年初以来,苹果还修复了:
-
7月份的两个0day漏洞(CVE-2023-37450和CVE-2023-38606) -
6月份的三个0day漏洞(CVE-2023-32434、CVE-2023-32435和CVE-2023-32439) -
5月份新增三个0day漏洞(CVE-2023-32409、CVE-2023-28204和CVE-2023-32373) -
4月份的两个0day漏洞(CVE-2023-28206和CVE-2023-28205) -
2月份的另一个WebKit 0day漏洞(CVE-2023-23529)
往期推荐
原文始发于微信公众号(360漏洞研究院):行业资讯|苹果紧急修复两个新的 iOS 0day漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论