查看原文
其他

苹果紧急修复已遭利用的 WebKit 0day

Sergiu Gatlan 代码卫士 2023-02-18

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

苹果公司发布紧急安全更新,修复了被用于攻击iPhone、iPad和Mac等设备的新0day。

该0day的编号为CVE-2023-23529,是一个WebKit混淆漏洞,可用于在受陷设备上触发OS崩溃并获得代码执行权限。当用户打开恶意网页时,攻击者可利用该漏洞在运行易受攻击 iOS、iPadOS和macOS版本的设备上执行任意代码。该漏洞还影响macOS Big Sur 和 Monterey 上的Safari 16.3.1。

苹果公司对该0day的说明是“处理恶意构造的web内容可导致任意代码执行。苹果已发现该漏洞遭活跃利用的报告。”

苹果公司已推出iOS 16.3.1、iPadOS 16.3.1和macOS Ventura 13.2.1版本,修复了上述漏洞。受影响设备数量很多,因为该漏洞同时影响老旧版本和新版本,包括:

  • iPhone 8和后续版本

  • iPad Pro(所有机型)、iPad Air第三代及后续版本、iPad第五代及后续版本以及iPad mini第五代及后续版本。

  • 运行macOS Ventura 的Mac设备

另外,苹果还修复了一个释放后使用漏洞 (CVE-2023-23514),攻击者可通过在Mac和iPhone 上的内核权限执行任意代码。


苹果今年修复的第一个0day



尽管苹果公司披露称已发现该漏洞遭在野利用的报告,但尚未发布关于这些攻击的信息。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

苹果修复已遭利用的第10个0day

苹果修复已遭利用的第9枚0day

苹果修复今年以来影响iPhone 和 Mac设备的第8枚0day

苹果紧急修复两个0day

苹果紧急修复影响 Mac 和 Apple Watch 的 0day



原文链接

https://www.bleepingcomputer.com/news/security/apple-fixes-new-webkit-zero-day-exploited-to-hack-iphones-macs/


题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存