新Windows?! 苹果再修复已遭利用的新0day
编译:代码卫士
本月初,苹果公司在关于新一轮快速安全响应 (RSR) 更新中所修复CVE-2023-37450的安全公告中指出,“苹果公司注意到报告称该漏洞可能已遭活跃利用。”
今天修复的另外一个 0day 是一个新的 Kernel 漏洞CVE-2023-38606,已被用于攻击运行老旧 iOS 版本的设备。苹果公司提到,“苹果注意到一份报告称该漏洞可能已被用于攻击 iOS 15.7.1之前的 iOS 版本。”
攻击者可利用该漏洞在未修复设备上修改敏感的内核状态。苹果公司通过提升检查和状态管理修复了这两个漏洞。
卡巴斯基 GReAT 首席安全研究员 Boris Larin 提到,CVE-2023-38606是攻击者通过 iMessage 利用在iPhone 尚部署 Triangulation 监控软件所使用的零点击利用链的一部分。
苹果公司还向将5月份所修复0day (CVE-2023-32409) 的补丁向后兼容到运行 tvOS 16.6和watchOS 9.6的设备上。
今天修复的这两个漏洞影响范围广,包括大量 iPhone 和 iPad 机型以及运行 macOS Big Sur、Monterey 和 Ventura 的 Mac 设备。
今年以来修复的第11个 0day
自今年年初开始,苹果已修复了被用于攻击运行 iOS、macOS 和 iPadOS 设备的11个0day漏洞。
本月早些时候,苹果发布带外 RSR 更新,修复影响已打补丁的 iPhone、Mac 和 iPad 设备的漏洞CVE-2023-37450。
之后不久,苹果公司证实RSR更新破坏了某些网站上的 web 浏览并在两天后发布对有问题补丁的修复版本。
在此之前,苹果公司还修复了如下漏洞:
6月修复3个0day(CVE-2023-32434、CVE-2023-32435和CVE-2023-32439)
5月修复3个0day(CVE-2023-32409, CVE-2023-28204, and CVE-2023-32373)
4月修复2个0day(CVE-2023-28206 和 CVE-2023-28205)
2月修复1个WebKit 0day (CVE-2023-23529)
苹果员工在CTF大赛发现谷歌0day秘而不报 $10000赏金由他人获得
https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-macs/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。