iOS系统WebKit浏览器引擎曝零日漏洞,可导致任意代码执行

立即补丁:苹果的iOS,iPados,macos和Safari受到新的零日缺陷的攻击

近日,苹果公司推出了针对iOS、iPadOS、macOS和Safari 的安全更新,以解决据称已在野被积极利用的零日漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该漏洞编号为 CVE-2023-23529,与 WebKit 浏览器引擎中的类型混淆错误有关,该漏洞可以在处理恶意制作的 Web 内容时被激活,最终导致任意代码执行。

目前尚不清楚该漏洞是如何在现实世界的攻击中被利用的,但这是2022年继 CVE-2022-42856 之后第二个被修补的 WebKit 中被滥用的类型混淆漏洞

由于苹果公司要求浏览器厂商使用相同的渲染框架的限制,WebKit 缺陷的另一个值得注意之处在于它们会影响适用于 iOS 和 iPadOS 的所有第三方网络浏览器。

该公司还解决了内核中的释放后使用漏洞 (CVE-2023-23514),该漏洞可能允许流氓应用程序以最高权限执行任意代码。

建议用户更新至 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1 和 Safari 16.3.1 以降低潜在风险。这些更新适用于以下设备:

  • iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型;
  • 运行 macOS Ventura、macOS Big Sur 和 macOS Monterey 的 Mac 电脑;

苹果公司在 2022 年修复了其软件中的 10 个零日漏洞,其中 9 个被披露为被攻击者在野积极利用。其中4个缺陷是在 WebKit 中发现的。

 

iOS系统WebKit浏览器引擎曝零日漏洞,可导致任意代码执行

极牛网精选文章《iOS系统WebKit浏览器引擎曝零日漏洞,可导致任意代码执行》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/22797.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2023年2月8日 上午11:09
下一篇 2023年2月15日 上午10:21

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部