網絡安全和基礎設施安全局 (CISA) 命令聯邦機構修補兩個在野外被積極利用以破解 iPhone、Mac 和 iPad 的安全漏洞。

根據2022 年 11 月發布的具有約束力的操作指令 (BOD 22-01),聯邦民事行政分支機構 (FCEB) 機構必須針對添加到 CISA已知被利用漏洞目錄中的所有安全漏洞修補其系統。

FCEB 機構現在必須在 2023 年5月1日之前確保iOS、iPadOS和 macOS 設備的安全,以防止蘋果公司在周五解決并添加到 CISA在周一的攻擊中利用的漏洞列表中的兩個漏洞。

第一個錯誤 (CVE-2023-28206) 是一個 IOSurfaceAccelerator 越界寫入,它可能允許攻擊者使用惡意制作的應用程序在目標設備上以內核權限執行任意代碼。

第二個 (CVE-2023-28205) 是一個 WebKit 漏洞利用漏洞,它使威脅行為者能夠在誘使目標加載受攻擊者控制的惡意網頁后在被黑的 iPhone、Mac 或 iPad 上執行惡意代碼。

Apple 通過改進輸入驗證和內存管理解決了 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1 和 Safari 16.4.1 中的兩個日漏洞。

該公司表示,受影響的設備清單非常廣泛,其中包括:

  • iPhone 8 及更高版本;
  • iPad Pro(所有型號);
  • iPad Air 第三代及更新機型;
  • iPad 第 5 代及更高版本;
  • iPad mini 第 5 代及更新機型;
  • 運行 macOS Ventura 的 Mac

這些漏洞是谷歌的威脅分析小組和國際特赦組織的安全實驗室發現的,同時作為漏洞利用鏈的一部分在攻擊中被利用。

來自谷歌威脅分析小組的 Clément Lecigne 和來自國際特赦組織安全實驗室的 Donncha ó Cearbhaill 被 Apple 認為報告了這些漏洞。

這兩個組織都經常報告政府資助的威脅行為者的活動,其中利用零日漏洞在全球政治家、記者和持不同政見者等高風險個人的設備上安裝間諜軟件。

Google TAG 和國際特赦組織分享了有關在最近兩次部署商業間諜軟件的活動中濫用的其他 Android、iOS 和 Chrome 零日和 n 日漏洞的更多信息。

盡管 CISA 今天添加到其 KEV 目錄中的漏洞可能只在高度針對性的攻擊中被利用,但建議盡快修補它們以防止潛在的攻擊。

兩個月前,Apple 解決了另一個 WebKit 零日漏洞(CVE-2023-23529),該漏洞被利用來觸發操作系統崩潰并在易受攻擊的 iPhone、iPad 和 Mac 上獲得代碼執行。

cisa 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接