Bleeping Computer 網(wǎng)站披露，安全研究人員在 WebKit 瀏覽器引擎中發(fā)現(xiàn)了三個(gè)零日漏洞，分別被跟蹤為 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373，網(wǎng)絡(luò)攻擊者可以利用這些漏洞，針對(duì) iPhone、Mac 和 iPad 展開(kāi)網(wǎng)絡(luò)攻擊活動(dòng)。

漏洞詳情

網(wǎng)絡(luò)攻擊者可以利用上述三個(gè)漏洞，侵入用戶(hù)設(shè)備訪問(wèn)用戶(hù)敏感信息，甚至可以誘使受害者目標(biāo)加載惡意制作的網(wǎng)頁(yè)（網(wǎng)絡(luò)內(nèi)容），在受損設(shè)備上執(zhí)行任意代碼。接收到漏洞反饋后，蘋(píng)果公司通過(guò)改進(jìn)邊界檢查、輸入驗(yàn)證和內(nèi)存管理，解決了漏洞問(wèn)題。

據(jù)悉，macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 等都會(huì)受到漏洞影響。具體受影響機(jī)型包括：

• iPhone 6s（所有型號(hào)）、iPhone 7（所有型號(hào)的）、iPhone SE（第一代）；iPad Air 2、iPad mini（第四代）、iPod touch（第七代）和 iPhone 8 及更高版本；
• iPad Pro（所有型號(hào)）、iPad Air 第三代及以后、iPad 第五代及更高版本、iPad mini 第五代及更高版本；
• 運(yùn)行 macOS Big Sur、Monterey 和 Ventura 的 Mac 電腦 ；
• Apple Watch Series 4 及更高版本
• Apple TV 4K（所有型號(hào)）和 Apple TV HD 。

蘋(píng)果表示公司內(nèi)部已經(jīng)知道了三個(gè)零日漏洞正在野外被積極利用，5 月 1 日發(fā)布的 iOS 16.4.1 和 macOS 13.3.1設(shè)備的快速安全響應(yīng)（RSR）補(bǔ)丁解決 CVE-2023-28204 和 CVE-2023-32373 這兩個(gè)漏洞問(wèn)題。

谷歌威脅分析小組成員 Clément Lecigne 和 Amnesty International's 安全實(shí)驗(yàn)室成員 Donncha ó Cearbhaill 發(fā)現(xiàn)并報(bào)告了CVE-2023-32409。這兩名研究人員所屬的組織會(huì)定期披露具有國(guó)家背景的黑客活動(dòng)，這些網(wǎng)絡(luò)犯罪分子利用零日漏洞在政客、記者、持不同政見(jiàn)者等人員的智能手機(jī)和電腦上部署間諜軟件。

2023 年初以來(lái)，蘋(píng)果修復(fù)了多個(gè)零日漏洞

進(jìn)入 2023 年以來(lái)，蘋(píng)果多次爆出安全漏洞。2 月份，蘋(píng)果公司解決了一個(gè) WebKit 零日（CVE-2023-23529）問(wèn)題，該漏洞可以被攻擊者用來(lái)在易受攻擊的 iPhone、iPad 和 Mac 上執(zhí)行代碼；4月份，蘋(píng)果修復(fù)了兩個(gè)零日漏洞 CVE-2023-28206 和 CVE-2023-20205，攻擊者可以利用這兩個(gè)漏洞在目標(biāo)設(shè)備上部署商業(yè)間諜軟件。

文章來(lái)源：https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/