美國網絡安全和基礎設施安全局 (CISA) 下令聯邦機構解決三個最近修補的影響 iPhone、Mac 和 iPad 的零日漏洞。

這些漏洞已知會在攻擊中被利用。

這些安全漏洞被跟蹤為 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373,它們都存在于 WebKit 瀏覽器引擎中。

它們允許攻擊者逃離瀏覽器沙箱,訪問受感染設備上的敏感信息,并在成功利用后實現任意代碼執行。

該公司在描述這些漏洞時表示:蘋果公司知道一份報告稱這個問題可能已被積極利用。

macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 通過改進邊界檢查、輸入驗證和內存管理解決了三個零日漏洞。

受影響設備的完整列表非常廣泛,包括以下內容:

  • iPhone 6s(所有機型)
  • iPhone 7(所有機型)
  • iPhone SE(第 1 代)
  • iPad Air 2
  • iPad mini(第 4 代)
  • iPod touch(第 7 代) 
  • iPhone 8 及更新機型
  • iPad Pro(所有機型)
  • iPad Air 第三代及更新機型
  • iPad 第五代及更新機型
  • iPad mini 第五代及更新機型
  • 運行 macOS Big Sur、Monterey 、Ventura 的 Mac
  • Apple Watch Series 4 及更新機型
  • Apple TV 4K(所有型號)和 Apple TV HD

可能在國家支持的間諜軟件攻擊中被利用

盡管 Apple 沒有提供有關漏洞被濫用的攻擊的具體細節,但它確實表明 CVE-2023-32409 是由谷歌威脅分析小組的 Clément Lecigne 和國際安全實驗室的 Donncha ó Cearbhaill 報告的。

這兩位研究人員及其各自的組織經常披露有關國家發起的活動的信息,這些活動利用零日漏洞在政客、記者、持不同政見者和其他個人的設備上安裝監視間諜軟件,進行高度針對性的攻擊。

他們在 3 月份披露了最近兩次使用 Android、iOS 和 Chrome 漏洞的復雜利用鏈來安裝雇傭間諜軟件的活動的詳細信息,其中之一是 CISA周五警告的三星 ASLR 繞過漏洞。

補丁截止日期 6 月 12 日

根據 2022 年 11 月發布的具有約束力的操作指令 (BOD 22-01),聯邦民用行政分支機構 (FCEB) 必須為其系統應用補丁,以解決 CISA已知被利用漏洞目錄中列出的所有安全漏洞。

通過今天的更新,FCEB 機構需要在 2023 年 6 月 12 日之前保護其 iOS、iPadOS 和 macOS 設備。

盡管主要針對美國聯邦機構,但強烈建議私營公司也高度重視修復攻擊中利用的漏洞 KEV 列表中包含的漏洞。

CISA 周一表示:這些類型的漏洞是惡意網絡行為者的常見攻擊媒介,并對聯邦企業構成重大風險。

4 月,聯邦機構還被警告要保護其網絡上的 iPhone 和 Mac 免受谷歌 TAG 和國際特赦組織安全研究人員報告的另一對 iOS 和 macOS 安全漏洞。

iphone cisa 信息安全 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接