Apple 发布紧急更新以修补被积极利用的零日漏洞

Apple 发布了适用于 iOS、iPadOS、macOS、visionOS 及其 Safari Web 浏览器的安全更新，以解决在野外被积极利用的两个零日漏洞。

缺陷如下所列 ：

• CVE-2024-44308- JavaScriptCore 中的一个漏洞，在处理恶意 Web 内容时可能导致任意代码执行
• CVE-2024-44309- WebKit 中的一个 Cookie 管理漏洞，在处理恶意 Web 内容时可能导致跨站点脚本 （XSS） 攻击

这家 iPhone 制造商表示，它分别通过改进检查和改进状态管理解决了 CVE-2024-44308 和 CVE-2024-44309。

关于利用的确切性质知之甚少，但 Apple 承认这两个漏洞“可能已在基于 Intel 的 Mac 系统上被积极利用”。

Google 威胁分析小组 （TAG） 的 Clément Lecigne 和 Benoît Sevens 因发现并报告这两个漏洞而受到赞誉，这表明它们可能被用作高度针对性政府支持或雇佣兵间谍软件攻击的一部分。

这些更新适用于以下设备和操作系统 ：

• iOS 18.1.1 和 iPadOS 18.1.1 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸（第 3 代及更新机型）、iPad Pro 11 英寸（第 1 代及更新机型）、iPad Air 第 3 代及更新机型、iPad 第 7 代及更新机型、iPad mini 第 5 代及更新机型
• iOS 17.7.2 和 iPadOS 17.7.2 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸（第 2 代及更新机型）、iPad Pro 10.5 英寸、iPad Pro 11 英寸（第 1 代及更新机型）、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型、iPad mini 第 5 代及更新机型
• macOS Sequoia 15.1.1 - 运行 macOS Sequoia 的 Mac
• visionOS 2.1.1 - Apple Vision Pro
• Safari 18.1.1 - 运行 macOS Ventura 和 macOS Sonoma 的 Mac

到目前为止，Apple 今年已经解决了其软件中的四个零日漏洞，其中包括一个 （CVE-2024-27834），该漏洞在 Pwn2Own 温哥华黑客竞赛中演示。其他三个版本已于 2024年 1 月和 3 月修补。

建议用户尽快将设备更新到最新版本，以防范潜在威胁。

尊敬的读者： 感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力，并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示，是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值，并且希望获得更多的相关资讯和服务，我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单，与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新，以帮助您更好地了解我们的服务和文章内容。                                扫描二维码，参与调查

原文始发于微信公众号（信息安全大事件）：Apple 发布紧急更新以修补被积极利用的零日漏洞