查看原文
其他

苹果修复3个已遭利用的新 0day

Sergiu Gatlan 代码卫士 2023-06-20

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士





苹果修复了用于攻击 iPhone、Mac 和 iPad 的三个新0day。


苹果公司在安全公告中指出,“苹果已注意到该漏洞可能遭活跃利用的报告。”这三个漏洞均位于多平台的 WebKit 浏览器引擎中,编号为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。

CVE-2023-32409是一个沙箱逃逸漏洞,可导致远程攻击者攻破 Web Content 沙箱。其它两个漏洞是界外读漏洞,一个有助于攻击者获得访问敏感信息的权限,一个是可导致在受陷设备上实现任意代码执行的释放后使用漏洞,这两个漏洞均要求目标加载恶意构造的网页(web 内容)。

苹果已在 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5和 Safari 16.5 改进边界检查、输入验证和内存管理,修复了这三个漏洞。

由于影响新老机型,因此受影响设备数量庞大,包括:

  • iPhone 6s(所有机型)、iPhone 7(所有机型)、iPhone SE(第一代)、iPad Air 2、iPad mini(第4代)、iPod touch(第7代)以及iPhone 8 及后续版本。

  • iPad Pro(所有机型)、iPad Air 第3代及后续版本、iPad 第5代及后续版本以及 iPad mini 第5代及后续版本。

  • 运行 macOS Big Sur、Monterey 和 Ventura 的 Mac 设备

  • Apple Watch 系列4及后续版本

  • Apple TV 4K(所有机型)及 Apple TV HD

苹果公司还表示,CVE-2023-28204和CVE-2023-32373(由匿名研究员报送)在5月1日通过为 iOS 16.41和 macOS 13.3.1 设备发布快速安全响应 (RSR) 补丁的方式修复。

苹果公司发言人并未回复5月份的RSR 更新所修复漏洞的更多详情。



2023年以来修复6个0day


虽然苹果公司表示已意识到这三个 0day 已遭利用,但并未分享任何相关信息。不过今天发布的安全公告显示,CVE-2023-32409由谷歌威胁分析团队研究员 Clément Lecigne 和 Amnesty International 公司安全实验室的研究员 Donncha Ó Cearbhaill 发现并报告。这两家公司定期披露关于国家黑客组织在政客、记者、异见人士等人群的智能手机和计算机上部署恶意软件。

4月份,苹果修复了两个0day漏洞CVE-2023-28206和CVE-2023-28205。这两个漏洞是由安卓、iOS 和 Chrome 0day 和 nday 漏洞组成的在野利用链的一部分,被用于在高危目标设备上安装商业间谍软件。2月份,苹果公司修复了 WebKit 0day 漏洞CVE-2023-23529,该漏洞被用于在易受攻击的 iPhone、iPad 和 Mac 设备上执行代码。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

苹果紧急修复两个已遭利用的 0day,影响 iPhone 和 Mac设备

苹果修复老旧设备中的已遭利用 WebKit 0day

苹果紧急修复已遭利用的 WebKit 0day

苹果修复已遭利用的第10个0day

苹果修复已遭利用的第9枚0day



原文链接

https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存