苹果紧急修复已遭利用的 0day
编译:代码卫士
苹果发布新一轮快速安全响应 (RSR) 更新,修复了一个已遭利用的 0day (CVE-2023-37450),影响完全打补丁的 iPhone、Mac 和 iPad。
苹果在 iOS 和 macOS 安全通告中指出,该漏洞由一名匿名研究员发现并报告,“苹果公司注意到一份报告提到该漏洞可能已遭活跃利用。”
苹果公司提醒安装了RSR补丁的系统称,“该快速安全响应提供了重要的安全修复方案并建议所有用户应用。”
RSR 补丁作为影响更新推出,旨在解决位于 iPhone、iPad 和 Mac 平台上的安全问题,目的是解决主要软件更新之间引发的安全问题。另外,一些带外安全更新也用于已遭活跃利用的漏洞。如果用户关闭自动更新或未安装RSR,则设备会作为未来软件更新的一部分得以修复。
今天发布的紧急更新包括:
macOS Ventura 13.4.1 (a)
iOS 16.5.1 (a)
iPadOS 16.5.1 (a)
Safari 16.5.2
这些漏洞位于由苹果开发的 WebKit 浏览器引擎中,可使攻击者通过诱骗目标打开包含恶意构造内容的网页,在目标设备上获得任意代码执行权限。苹果公司改进了相关检查以缓解利用尝试,修复了该安全弱点。
2023年修复的第10个0day
自2023年开始,苹果已修复了用户攻击 iPhone、Mac 或 iPad 的10个0day 漏洞。
本月初,苹果修复了三个0day(CVE-2023-32434、CVE-2023-32435和CVE-2023-32439)。它们被用于通过 iMessage 零点击利用在 iPhone 上部署 Triangulation 监控软件。
5月份,苹果公司修复了三个0day(CVE-2023-32409、CVE-2023-28204和CVE-2023-32373),第一个漏洞由 Amnesty International 安全实验室和谷歌威胁分析团队发现,可能被用于安装恶意监控软件。
4月份,苹果修复了其它两个0day(CVE-2023-28206和CVE-2023-28205),它是利用链的一部分。该利用链结合安卓、iOS 和 Chrome 0day以及 nday 漏洞在高风险设备上部署监控软件。
2月份,苹果修复了另外一个 WebKit 0day (CVE-2023-23529),在易受攻击的 iPhone、iPad 和 Mac 上获得代码执行权限。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。