蘋果釋出了 iOS 16.7 和 iOS 17.0.1,修復了兩個正被間諜軟件公司 Intellexa 利用的 0day——CVE-2023-41992 和 CVE-2023-41993。漏洞是 Google 安全團隊 Threat Analysis Group (TAG)與公民實驗室合作發現的,上周報告給了蘋果,蘋果在短時間內就釋出了緊急更新。Google 安全博客公布了漏洞細節。漏洞利用是通過中間人攻擊執行的,當目標通過 HTTP 訪問網站,一個中間人可以攔截流量將偽造的數據返回給目標,迫使目標訪問不同的網站。Intellexa 的利用鏈組合使用了三個漏洞,整個過程不需要用戶互動——即所謂的零點擊攻擊。TAG 團隊還觀察到攻擊者使用相似的漏洞利用鏈,在埃及的 Android 設備上安裝間諜軟件。安全研究人員督促 Chrome 用戶啟用 HTTPS-First Mode 以抵御中間人攻擊。
蘋果修復了正被利用的 0day
2023-09-25 10:37:17
蘋果釋出了 iOS 16.7 和 iOS 17.0.1,修復了兩個正被間諜軟件公司 Intellexa 利用的 0day——CVE-2023-41992 和 CVE-2023-41993。漏洞是 Google 安全團隊 Threat Analysis Group (TAG)與公民實驗室合作發現的,上周報告給了蘋果,蘋果在短時間內就釋出了緊急更新。Google 安全博客公布了漏洞細節。漏洞利用是通過中間人攻擊執行的,當目標通過 HTTP 訪問網站,一個中間人可以攔截流量將偽造的數據返回給目標,迫使目標訪問不同的網站。Intellexa 的利用鏈組合使用了三個漏洞,整個過程不需要用戶互動——即所謂的零點擊攻擊。TAG 團隊還觀察到攻擊者使用相似的漏洞利用鏈,在埃及的 Android 設備上安裝間諜軟件。安全研究人員督促 Chrome 用戶啟用 HTTPS-First Mode 以抵御中間人攻擊。
