苹果紧急发布补丁修复 3 个在野被用于间谍软件的零日漏洞

Apple急于补丁3个新的零日缺陷:iOS,MacOS,Safari和更脆弱的

最近的网络安全观察中发现,苹果公司又发布了新一轮安全补丁,以解决影响 iOS、iPadOS、macOS、watchOS 和 Safari 的 3 个被积极利用的零日漏洞,这使得苹果公司今年在其软件中发现的零日漏洞总数达到 16 个。

该3个零日漏洞列表如下:

  • CVE-2023-41991 – 安全框架中的证书验证问题可能允许恶意应用程序绕过签名验证。
  • CVE-2023-41992 – 内核中的安全漏洞可能允许本地攻击者提升其权限。
  • CVE-2023-41993 – WebKit 漏洞,在处理特制 Web 内容时可能导致任意代码执行。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,苹果没有提供更多漏洞相关的细节,只是承认该漏洞可能已被针对 iOS 16.7 之前的 iOS 版本在野被积极利用。

这些更新适用于以下设备和操作系统:

  • iOS 16.7 和 iPadOS 16.7 – iPhone 8 及更新机型、iPad Pro(所有型号)、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型以及 iPad mini 第 5 代及更新机型。
  • iOS 17.0.1 和 iPadOS 17.0.1 – iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 6 代第 1 代及更高版本、iPad mini 第 5 代及更高版本。
  • macOS Monterey 12.7 和 macOS Ventura 13.6
  • watchOS 9.6.3watchOS 10.0.1 – Apple Watch Series 4 及更高版本。
  • Safari 16.6.1 – macOS Big Sur 和 macOS Monterey 。

多伦多大学芒克学院公民实验室和谷歌威胁分析小组 (TAG) 发现并报告了这些漏洞,他们表示这些漏洞可能已被滥用,作为针对民用的高度针对性间谍软件的一部分。

两周前,苹果公司解决了另外2个经常被利用的零日漏洞(CVE-2023-41061CVE-2023-41064),这些漏洞被链接为名为 BLASTPASS 的零点击 iMessage 漏洞利用链的一部分,用于部署已知的雇佣间谍软件Pegasus飞马。

随后,Google和Mozilla都发布了包含安全漏洞 (CVE-2023-4863) 的修复程序,该漏洞可能导致在处理特制图像时执行任意代码。

极牛攻防实验室表示,CVE-2023-41064(Apple Image I/O 图像解析框架中的缓冲区溢出漏洞)和 CVE-2023-4863(WebP 图像库(libwebp)中的堆缓冲区溢出漏洞)这两个漏洞的原理和此次发现的3个零日漏洞的原理是一样的。

安全研究人员透露,libwebp 库被用于多个操作系统、软件包、Linux 应用程序和容器映像,并强调该漏洞的范围比最初假设的要广泛得多。

 

苹果紧急发布补丁修复 3 个在野被用于间谍软件的零日漏洞

极牛网精选文章《苹果紧急发布补丁修复 3 个在野被用于间谍软件的零日漏洞》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/25679.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
威胁感知的头像威胁感知认证作者
上一篇 2023年9月21日 上午11:00
下一篇 2023年9月27日 上午11:00

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部