苹果解决了两个被积极利用的零日漏洞

苹果发布了 iOS、iPadOS、macOS、visionOS 和 Safari 浏览器的安全更新，以解决两个被主动利用的零日漏洞。

苹果针对 iOS、iPadOS、macOS、visionOS 和 Safari 浏览器中的两个零日漏洞发布了安全更新，这两个漏洞被追踪为 CVE-2024-44309 和 CVE-2024-44308，它们在野外被积极利用。

CVE-2024-44309 漏洞是 WebKit 中的一个 cookie 管理问题，在处理恶意网页内容时可能导致跨站脚本 (XSS) 攻击。

“处理恶意制作的网页内容可能会导致跨站脚本攻击。”苹果公司注意到有报告称，“这一问题可能已在基于英特尔的 Mac 系统上被积极利用。”

苹果通过改进状态管理解决了 cookie 管理问题。

CVE-2024-44308 漏洞影响 JavaScriptCore，在处理恶意网页内容时可能导致任意代码执行。

“处理恶意制作的网页内容可能导致任意代码执行。”苹果公司注意到有报告称，“这一问题可能已在基于英特尔的 Mac 系统上被积极利用。”

该公司通过改进检查功能修复了这一问题。

这家 IT 巨头没有披露攻击的细节，也没有将其归咎于特定的威胁行为者。

谷歌威胁分析小组的 Clément Lecigne 和 Benoît Sevens 发现了这两个漏洞。

谷歌威胁分析小组（TAG）的工作重点是通过监控和打击高级持续性威胁（APT）和网络间谍活动（通常涉及商业间谍软件）来保护用户。这表明，这两个漏洞可能是高级威胁行为者所利用的漏洞的一部分。

该公司发布了以下更新来解决这两个漏洞：

• iOS 18.1.1 和 iPadOS 18.1.1 – iPhone XS 及更高版本、iPad Pro 13 英寸、iPad Pro 12.9 英寸第三代及更高版本、iPad Pro 11 英寸第一代及更高版本、iPad Air 第三代及更高版本、iPad 第七代及更高版本，以及 iPad mini 第五代及更高版本。
• iOS 17.7.2 和 iPadOS 17.7.2 – iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第二代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一代及更新机型、iPad Air 第三代及更新机型、iPad 第六代及更新机型，以及 iPad mini 第五代及更新机型。
• Safari 18.1.1 – 适用于运行 macOS Ventura 和 macOS Sonoma 的系统
• macOS Sequoia 15.1.1
• visionOS 2.1.1

用户应及时将设备更新至最新版本。