Apple 修复了三个新的0day漏洞,用于破解 iPhone、Mac

近日,Apple 发布公告修复了三个新的0day漏洞,这些漏洞可能已经被用于攻击 iPhone、Mac 和 iPad。
这些安全漏洞均在多平台 WebKit 浏览器引擎中发现,并被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373。
第一个漏洞是沙箱逃逸,它使远程攻击者能够突破 Web 内容沙箱。
另外两个是可以帮助攻击者访问敏感信息的越界读取和一个允许在受感染设备上执行任意代码的释放后使用问题,这两个问题都是在诱使目标加载恶意制作的网页之后(网页内容)。
Apple 通过改进边界检查、输入验证和内存管理解决了 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 中的三个零日漏洞。
受影响的设备列表非常广泛,因为该错误会影响较旧和较新的型号,其中包括:
  • iPhone 6s(所有机型)、iPhone 7(所有机型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod touch(第 7 代)和 iPhone 8 及更新机型

  • iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型

  • 运行 macOS Big Sur、Monterey 和 Ventura 的 Mac

  • Apple Watch Series 4 及更新机型

  • Apple TV 4K(所有型号)和 Apple TV HD

该公司还透露,CVE-2023-28204 和 CVE-2023-32373(由匿名研究人员报告)首先通过 5 月 1 日发布的适用于 iOS 16.4.1 和 macOS 13.3.1 设备的快速安全响应 (RSR) 补丁解决  。
值得一提的是,谷歌威胁分析小组的 Clément Lecigne 和国际特赦组织安全实验室的 Donncha Ó Cearbhaill 报告了 CVE-2023-32409。
这两位研究人员所属的组织定期披露有关利用零日漏洞在政客、记者、持不同政见者等的智能手机和计算机上部署雇佣间谍软件的国家支持活动的详细信息。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐