Apple 修補了iOS 16.7.1版本之前被利用的嚴重 WebKit 漏洞

商業間諜軟件仍在蓬勃發展?

蘋果公司周四為其旗艦 macOS 和 iOS 平臺推出了安全更新，以修復舊系統移動設備上已經被利用的兩個嚴重漏洞。這些在 WebKit 瀏覽引擎中標記的漏洞可被用來劫持敏感內容或發起任意代碼執行攻擊。該公司推出了iOS 17.1.2 和 iPadOS 17.1.2，修復了 WebKit 缺陷，并警告稱，可以通過惡意網頁內容發起漏洞利用。該公司表示：“蘋果公司已獲悉一份報告，稱該問題可能已被針對 i

iOS 0day漏洞影響老版本iPhone和iPad，蘋果已發布安全補丁。漏洞產生的原因是蘋果WebKit web瀏覽器瀏覽引擎的類型混淆引發的。實現遠程代碼執行后，攻擊者可以在底層操作系統執行命令，部署惡意軟件或監控惡意軟件，并執行其他惡意活動。1月23日，蘋果再次發布公告稱發現該漏洞被利用的跡象。蘋果公司建議受影響的用戶盡快安裝1月23日蘋果發布的安全更新以攔截可能的攻擊。

WebKit 是由 Apple 開發的瀏覽器引擎，主要用于其 Safari 網絡瀏覽器以及所有 iOS 網絡瀏覽器。Apple 沒有分享針對舊款 Apple iPhone 設備的攻擊的詳細信息。在iOS版補丁解決可能由威脅行為者可用來對易受攻擊的設備執行任意代碼至少三個漏洞。這兩個漏洞可以通過欺騙運行 iOS 12 的設備的所有者訪問特制的 Web 內容來利用。“處理惡意制作的 Web 內容可能會導致任意代碼執行。Apple 獲悉一份報告，稱此問題可能已被積極利用。”閱讀 Apple 發布的安全公告。

研究人員已設計出了一種攻擊方法，可以利用現代iOS和macOS設備搭載的A系列和M系列CPU中的側信道漏洞，迫使蘋果的Safari瀏覽器泄露密碼、Gmail郵件內容及其他秘密信息。

蘋果方面對該漏洞攻擊的性質、規模以及背后黑客的身份細節知之甚少。

蘋果近日發布了iOS 16 /iPad OS 15的更新，主要是為了修復一系列漏洞，提高設備的安全性。iOS/iPadOS 15.7.6 系統修復了兩個已被證明被黑客利用的 WebKit 安全漏洞，這些漏洞可能導致惡意網頁執行任意代碼。蘋果建議所有符合升級條件的 iPhone、iPad 用戶盡快下載安裝這些更新，以保護自己的設備免受攻擊。

7月14日，谷歌威脅情報研究人員對今年以來惡意攻擊者攻擊活動中使用的4個不同的在野漏洞利用進行了分析，漏洞影響Chrome、Safari、IE瀏覽器等。 此外，4個漏洞中其中3個漏洞是被出售給了政府背景的黑客，因此很快出現在了現實攻擊中。這4個漏洞分別是：

近日，國家信息安全漏洞庫（CNNVD）收到關于iOS 平臺WebView組件（UIWebView/ WKWebView）跨域訪問漏洞（CNNVD-201801-515）情況的報送。成功利用該漏洞的攻擊者可以遠程獲取手機應用沙盒內所有本地文件系統內容，包括瀏覽器的Cookies、用戶的配置文件、文檔等敏感信息。iOS平臺大量使用了WebView組件的應用均受影響。目前，廠商暫未發布解決方案,但可通過