12月1日,蘋果公司發布了 iOS、iPadOS 和 macOS 的軟件更新,以修復兩個可能被惡意利用的零日安全漏洞。據統計,自今年年初以來已修復的零日漏洞數量已達到 20 個。

這些漏洞已經在野外被發現并利用,蘋果公司在其安全報告中警告說,“蘋果公司了解到有報告稱這個問題可能已被 iOS16.7.1 之前的iOS版本利用”。這些更新適用于 iPhone、iPad 和 Mac,建議所有用戶盡快安裝。

這兩個漏洞是由 Google 威脅分析小組 (TAG) 的研究員 Clément Lecigne 發現并報告的,他們專注于揭露針對高風險個人的零日攻擊。據 Bleeping Computer 報道,Google TAG 團隊近年來發現并披露了多個影響蘋果設備的零日漏洞。蘋果沒有透露任何關于這些攻擊的目標或動機的細節。

這兩個漏洞都涉及到 WebKit,這是一個開源的瀏覽器框架,蘋果用它來支持 Safari 瀏覽器。根據蘋果對第一個漏洞的描述,“處理網頁內容可能會泄露敏感信息。”對于第二個漏洞,它說:“處理網頁內容可能會導致任意代碼執行。”這意味著攻擊者可以通過誘使用戶訪問惡意網站來竊取數據或控制設備。

這些安全補丁適用于“iPhone XS 及更高版本、iPad Pro 12.9 英寸第二代及更高版本、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一代及更高版本、iPad Air 第三代及更高版本、iPad 第六代及更高版本、以及 iPad mini 第五代及更高版本。”如果您使用的是這些設備中的任何一個,您應該立即更新您的軟件,以保護您的隱私和安全。您可以通過前往“設置”>“常規”>“軟件更新”,然后點擊提示來啟動它來更新您的 iPhone 或 iPad。在 Mac 上,您可以通過轉到系統設置 > 常規 > 軟件更新并執行相同的操作來更新。蘋果今天在 iOS 17.1.2、iPadOS 17.1.2 和 macOS Sonoma 14.1.2 中發布了修復程序。

2023 年蘋果修復的 20 個零日漏洞

CVE-2023-42916 和 CVE-2023-42917 分別是蘋果今年修復的第 19 個和第 20 個被攻擊利用的零日漏洞。

谷歌 TAG 披露了 XNU 內核中的另一個零日漏洞(CVE-2023-42824),攻擊者可利用該漏洞在易受攻擊的 iPhone 和 iPad 上提升權限。

蘋果最近還修補了 Citizen Lab 和 Google TAG 研究人員報告的三個零日漏洞(CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993),威脅者利用這些漏洞部署了 Predator 間諜軟件。

此外,Citizen Lab 還披露了另外兩個零點漏洞(CVE-2023-41061 和 CVE-2023-41064),該漏洞被部分BLASTPASS所利用,以安裝 NSO Group 的 Pegasus 間諜軟件。不過蘋果公司在今年 9 月份已經修復了這兩個漏洞。

自今年年初以來,蘋果公司已修復的漏洞如下:

  • 7月修復兩個零日漏洞(CVE-2023-37450 和 CVE-2023-38606);
  • 6月修復三個零日漏洞(CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439);
  • 5月修復出現三個零日漏洞(CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373);
  • 4月修復兩個零日漏洞(CVE-2023-28206 和 CVE-2023-28205);
  • 2月修復WebKit 零日漏洞(CVE-2023-23529)





安全漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接