Apple 修复了三个新的0day漏洞,用于破解 iPhone、Mac

阅读量199501

发布时间 : 2023-05-19 12:00:40

近日,Apple 发布公告修复了三个新的0day漏洞,这些漏洞可能已经被用于攻击 iPhone、Mac 和 iPad。
这些安全漏洞均在多平台 WebKit 浏览器引擎中发现,并被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373。
第一个漏洞是沙箱逃逸,它使远程攻击者能够突破 Web 内容沙箱。
另外两个是可以帮助攻击者访问敏感信息的越界读取和一个允许在受感染设备上执行任意代码的释放后使用问题,这两个问题都是在诱使目标加载恶意制作的网页之后(网页内容)。
Apple 通过改进边界检查、输入验证和内存管理解决了 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 中的三个零日漏洞。
受影响的设备列表非常广泛,因为该错误会影响较旧和较新的型号,其中包括:
  • iPhone 6s(所有机型)、iPhone 7(所有机型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod touch(第 7 代)和 iPhone 8 及更新机型

  • iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型

  • 运行 macOS Big Sur、Monterey 和 Ventura 的 Mac

  • Apple Watch Series 4 及更新机型

  • Apple TV 4K(所有型号)和 Apple TV HD

该公司还透露,CVE-2023-28204 和 CVE-2023-32373(由匿名研究人员报告)首先通过 5 月 1 日发布的适用于 iOS 16.4.1 和 macOS 13.3.1 设备的快速安全响应 (RSR) 补丁解决  。
值得一提的是,谷歌威胁分析小组的 Clément Lecigne 和国际特赦组织安全实验室的 Donncha Ó Cearbhaill 报告了 CVE-2023-32409。
这两位研究人员所属的组织定期披露有关利用零日漏洞在政客、记者、持不同政见者等的智能手机和计算机上部署雇佣间谍软件的国家支持活动的详细信息。

本文转载自:

如若转载,请注明出处:

安全KER - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66