查看原文
其他

【安全圈】赶快更新!Apple 出现多个安全漏洞

安全圈 2023-02-18


关键词

漏洞


The Hacker News 网站披露,苹果公司近日推出了 iOS、iPadOS、macOS 的安全更新,以期解决一个 0day 漏洞(追踪为 CVE-2023-23529)。

研究表明,CVE-2023-23529 漏洞与 WebKit 开源浏览器引擎中的类型混淆错误有关,一旦攻击者成功利用,便可在目标系统上执行任意代码。

WebKit 是一个主要用于 Safari,Dashboard,Mail 和其它一些 Mac OS X 程序的开源浏览器引擎,在手机上的应用十分广泛(例如 Android、iPhone 等)。此外,WebKit 还应用在 Mac OS X 平台默认的 Safari 桌面浏览器内。

国内某安全厂商监测到多个 Apple 漏洞

除了上述提到的 CVE-2023-23529 安全漏洞,近段时间,国内某安全厂商还监测了多个 Apple 官方发布的安全漏洞通知,主要包括:

Apple Kernel 权限提升漏洞(CVE-2023-23514)

Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)

相较于其它两个漏洞,CVE-2023-23529 影响范围及危害程度最严重,该漏洞允许未经身份认证的远程攻击者诱骗受害者访问其特制的恶意网站,使 WebKit 处理网页内容时触发类型混淆错误,最终在目标系统上实现任意代码执行。

影响苹果多个版本产品:

iPhone 8 及更高版本

iPad Pro(所有型号)

iPad Air 第三代及更高版本

iPad 第五代及更新版本

iPad mini 第五代和更高版本

运行 macOS Ventura 的 Mac

此外,攻击者可组合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升权限并逃逸 Safari 沙箱。值得注意的是,安全研究人员已经发现 Apple WebKit 任意代码执行漏洞 CVE-2023-23529 在野利用的迹象,鉴于这些漏洞影响范围较大,建议客户尽快做好自查及防护。

苹果已发布了安全更新

2 月14 日,苹果官方正式发布了 iOS 16.3.1 安全更新, 修复了 CVE-2023-23529 高危漏洞,建议用户尽快升级。

官方更新日志显示,此次安全更新修复了存在于 WebKit 中的漏洞

WebKit 安全漏洞问题存在已久,2022 年,苹果总共修复了 10 个 0day,4 个漏洞是在 WebKit 中发现的。


   END  

阅读推荐

【安全圈】国内版ChatGPT上线啦,速度上车!

【安全圈】2022年数据泄露最严重的国家(地区)盘点

【安全圈】赶紧排查这个零日漏洞!全球已有130多家企业组织中招

【安全圈】Twitter 再出故障:蕾哈娜超级碗中场秀时推文无法加载

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存