苹果发布紧急安全更新修复20个零日漏洞
苹果发布了一份紧急安全更新,修复了两个被攻击利用的零日漏洞,这些漏洞影响了iPhone、iPad和Mac设备。今年以来,苹果已经修复了20个零日漏洞。
在周三发布的公告中,苹果表示:“我们注意到有一份报告称该问题可能已经被利用在iOS 16.7.1之前的版本上。”
这两个漏洞位于WebKit浏览器引擎中(CVE-2023-42916和CVE-2023-42917),允许攻击者通过越界读取漏洞获得敏感信息,并通过恶意构造的网页在受影响设备上执行任意代码。
苹果表示已通过改进输入验证和锁定来解决运行iOS 17.1.2、iPadOS 17.1.2、macOS Sonoma 14.1.2和Safari 17.1.2的设备的安全漏洞。
受影响的苹果设备包括:
- iPhone XS及更高版本
- iPad Pro 12.9英寸第二代及更高版本、iPad Pro 10.5英寸、iPad Pro 11英寸第一代及更高版本、iPad Air第三代及更高版本、iPad第六代及更高版本以及iPad mini第五代及更高版本
- 运行macOS Monterey、Ventura和Sonoma的Mac设备
这两个零日漏洞是由谷歌威胁分析小组(TAG)的安全研究员Clément Lecigne发现并报告的。
尽管苹果尚未发布关于实际利用情况的信息,但谷歌TAG的研究人员经常发现并披露用于针对高风险个人(如记者、反对派政治家和异见人士)的国家赞助间谍软件攻击的零日漏洞。
今年以来,已经有20个零日漏洞被利用。除了这两个漏洞,苹果还修复了另一个位于XNU内核中的零日漏洞(CVE-2023-42824),该漏洞使攻击者能够提升受影响的iPhone和iPad的权限。
此外,苹果还最近修复了Citizen Lab和谷歌TAG研究人员报告的另外三个零日漏洞(CVE-2023-41991、CVE-2023-41992和CVE-2023-41993),这些漏洞被威胁行为者用于部署Predator间谍软件。
Citizen Lab还披露了另外两个零日漏洞(CVE-2023-41061和CVE-2023-41064),这些漏洞在9月被苹果修复,并被用作零点击攻击链(称为BLASTPASS)的一部分,用于安装NSO Group的Pegasus间谍软件。
自年初以来,苹果还修复了其他漏洞。
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-