近日,苹果公司推出了iOS、iPadOS、macOS、tvOS、watchOS 和 Safari 浏览器的安全更新,以解决 3 个新的零日漏洞,据称这些漏洞正在野被积极利用。
以下是该3个安全漏洞的基本信息:
- CVE-2023-32409 – WebKit 漏洞,恶意行为者可利用该漏洞突破 Web 内容沙箱。已通过改进边界检查解决这个问题。
- CVE-2023-28204 – WebKit 中的越界读取问题,在处理 Web 内容时可能被滥用以泄露敏感信息。已通过改进输入验证解决这个问题。
- CVE-2023-32373 – WebKit 中的一个免费后使用错误,在处理恶意制作的 Web 内容时可能导致任意代码执行。已通过改进内存管理解决这个问题。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,CVE-2023-28204 和 CVE-2023-32373 作为快速安全响应更新的一部分进行了修补,这些漏洞历来被用作高度针对性入侵的一部分,在持不同政见者、记者和人权活动家等人的设备上部署雇佣间谍软件。
最新的安全更新适用于以下设备和系统:
- iOS 16.5 和 iPadOS 16.5 – iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型。
- iOS 15.7.6 和 iPadOS 15.7.6 – iPhone 6s(所有型号)、iPhone 7(所有型号)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)和 iPod touch(第 7 代)。
- macOS Ventura 13.4 – macOS Ventura。
- tvOS 16.5 – Apple TV 4K(所有型号)和 Apple TV HD。
- watchOS 9.5 – Apple Watch Series 4 及更新机型。
- Safari 16.5 – macOS Big Sur 和 macOS Monterey。
自 2023 年初以来,苹果公司已经修复了总共 6 个被积极利用的零日漏洞。今年 2 月早些时候,该公司发现了一个可能导致远程代码执行的WebKit 漏洞 ( CVE-2023-23529 )。
然后在上个月,它发布了针对两个漏洞(CVE-2023-28205 和 CVE-2023-28206)的修复程序,这些漏洞允许以提升的权限执行代码。
热门跟贴