Bleeping Computer 網站披露，安全研究人員在 WebKit 瀏覽器引擎中發(fā)現了三個零日漏洞，分別被跟蹤為 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373，網絡攻擊者可以利用這些漏洞，針對 iPhone、Mac 和 iPad 展開網絡攻擊活動。

漏洞詳情

網絡攻擊者可以利用上述三個漏洞，侵入用戶設備訪問用戶敏感信息，甚至可以誘使受害者目標加載惡意制作的網頁（網絡內容），在受損設備上執(zhí)行任意代碼。接收到漏洞反饋后，蘋果公司通過改進邊界檢查、輸入驗證和內存管理，解決了漏洞問題。

據悉，macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 等都會受到漏洞影響。具體受影響機型包括：

• iPhone 6s（所有型號）、iPhone 7（所有型號的）、iPhone SE（第一代）；iPad Air 2、iPad mini（第四代）、iPod touch（第七代）和 iPhone 8 及更高版本；
• iPad Pro（所有型號）、iPad Air 第三代及以后、iPad 第五代及更高版本、iPad mini 第五代及更高版本；
• 運行 macOS Big Sur、Monterey 和 Ventura 的 Mac 電腦 ；
• Apple Watch Series 4 及更高版本
• Apple TV 4K（所有型號）和 Apple TV HD 。

蘋果表示公司內部已經知道了三個零日漏洞正在野外被積極利用，5 月 1 日發(fā)布的 iOS 16.4.1 和 macOS 13.3.1設備的快速安全響應（RSR）補丁解決 CVE-2023-28204 和 CVE-2023-32373 這兩個漏洞問題。

谷歌威脅分析小組成員 Clément Lecigne 和 Amnesty International's 安全實驗室成員 Donncha ó Cearbhaill 發(fā)現并報告了CVE-2023-32409。這兩名研究人員所屬的組織會定期披露具有國家背景的黑客活動，這些網絡犯罪分子利用零日漏洞在政客、記者、持不同政見者等人員的智能手機和電腦上部署間諜軟件。

2023 年初以來，蘋果修復了多個零日漏洞

進入 2023 年以來，蘋果多次爆出安全漏洞。2 月份，蘋果公司解決了一個 WebKit 零日（CVE-2023-23529）問題，該漏洞可以被攻擊者用來在易受攻擊的 iPhone、iPad 和 Mac 上執(zhí)行代碼；4月份，蘋果修復了兩個零日漏洞 CVE-2023-28206 和 CVE-2023-20205，攻擊者可以利用這兩個漏洞在目標設備上部署商業(yè)間諜軟件。

文章來源：https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/