Apple修復了2024年首個被利用的零日漏洞

Apple Shortcuts安全漏洞(CVE-2024-23204)允許攻擊者訪問目標設備并竊取敏感數據，官方敦促立即更新您的設備！

蘋果于7月10日發布了新一輪快速安全響應 更新，以解決在攻擊中利用的一個新零日漏洞。蘋果在更新公告中也表示這是一個重要修復，建議所有用戶進行安裝。此次漏洞發現于蘋果開發的WebKit 瀏覽器引擎中，允許攻擊者通過釣魚方式誘導受害者打開包含惡意內容的網頁，在目標設備上獲得任意代碼執行。

10月11日，蘋果發布了iOS 15.0.2和iPadOS 15.0.2安全更新，以修復一個0day漏洞，據稱該漏洞已被積極利用。

微軟Microsoft 365 Defender研究團隊指出，這項編號CVE-2021-30970、名稱為powerdir的漏洞，可讓攻擊者繞過macOS的Transparency Consent and Control（TCC）技術，非授權存取使用者的檔案。在微軟通報下，蘋果已經在去年12月13日發布安全更新，包括macOS Monterey 12.1及macOS Big Sur 11.6.2

Citizen Lab周一表示，以色列網絡監控公司NSO Group發現蘋果iPhone有漏洞，黑客可以用一種之前未見過的技術入侵蘋果設備。這一發現相當重要，它意味著不需要用戶的參與黑客就能影響所有版本的iOS、OSX、watchOS。蘋果發消息稱，在周一的軟件更新中已經修復漏洞。

蘋果公司敦促macOS、iPhone和iPad用戶在本周盡快安裝設備的更新文件，這其中包括對兩個處于主動攻擊下的0 day漏洞的修復。據蘋果公司稱，這是一個越界寫入漏洞，該問題可以通過改進邊界的檢查方案來進行解決。蘋果公司使用一貫的模糊的公告對外宣稱，該漏洞可能已被黑客積極利用了。據蘋果公司稱，該漏洞允許瀏覽器處理惡意制作的網頁內容，這可能會導致代碼執行漏洞，而且據報道，該漏洞也在被積極利用中。

蘋果公司8月30日正式宣布開始接受2024 年iPhone安全研究設備計劃的申請，iOS 安全研究人員可以在 10 月底之前申請安全研究設備 SRD。

在新冠疫情蔓延期間，根據Atlas VPN公司發布的調查報告，蘋果公司的產品漏洞在2021年下半年增加了467%，達到380個漏洞。蘋果公司出現的零日漏洞數量有所增加，但仍遠低于微軟公司。調查發現，Mac設備部署實際上可能會提高安全性。

廣泛使用的 Java 日志庫 Log4j 漏洞爆出了非常容易利用的 0day 漏洞，通過發送特定字符串攻擊者能遠程執行代碼，有數以百萬計的應用受到影響。漏洞利用的 POC 代碼已發布在 GitHub 上，它被編號為 CVE-2021-44228。受影響的服務包括 Steam、Apple iCloud、游戲如 Minecraft，任何使用 Apache Struts 的服務都可能受到影響。在漏洞爆出

一個名為BlackGuard的新的信息竊取惡意軟件正在贏得網絡犯罪社區的關注。