蘋(píng)果于 7 月 10 日發(fā)布了新一輪快速安全響應(yīng) (RSR) 更新,以解決在攻擊中利用的一個(gè)新零日漏洞�。
蘋(píng)果在 iOS 和 macOS 的更新公告中引用了一位匿名安全專家對(duì)該漏洞(CVE-2023-37450)的描述�����,表示“蘋(píng)果已獲悉有關(guān)此漏洞可能已被積極利用的報(bào)告”�����。蘋(píng)果在更新公告中也表示這是一個(gè)重要修復(fù)����,建議所有用戶進(jìn)行安裝�。
此次漏洞發(fā)現(xiàn)于蘋(píng)果開(kāi)發(fā)的 WebKit 瀏覽器引擎中,允許攻擊者通過(guò)釣魚(yú)方式誘導(dǎo)受害者打開(kāi)包含惡意內(nèi)容的網(wǎng)頁(yè)�����,在目標(biāo)設(shè)備上獲得任意代碼執(zhí)行���。需要更新的系統(tǒng)軟件版本包括了 macOS 13.4.1����、iOS 16.5.1�、iPadOS 16.5.1 以及 Safari 16.5.2。
圖片來(lái)自網(wǎng)絡(luò)/侵刪
今年的第十個(gè)零日漏洞
自 2023 年初以來(lái)����,Apple 已修復(fù)了 10 個(gè)被廣泛利用來(lái)攻擊 iPhone、Mac 或 iPad 的零日漏洞����。
6 月初,蘋(píng)果修復(fù)了三個(gè)零日漏洞(CVE-2023-32434����、CVE-2023-32435 和 CVE-2023-32439),這些漏洞可通過(guò) iMessage 零點(diǎn)擊漏洞在 iPhone 上部署 Triangulation 間諜軟件�。
5 月,蘋(píng)果修復(fù)了由國(guó)際特赦組織和 Google 威脅分析小組報(bào)告的 3 個(gè)零日漏洞(CVE-2023-32409��、CVE-2023-28204 和 CVE-2023-32373)�����,這些漏洞可能用于安裝雇傭兵間諜軟件�。
4 月,蘋(píng)果修復(fù)了兩個(gè)能夠被用作 Android���、iOS 和 Chrome 零日和 N 日漏洞利用鏈一部分的兩個(gè)零日漏洞(CVE-2023-28206 和 CVE-2023-28205)����。
2 月,蘋(píng)果修復(fù)了另一個(gè) WebKit 零日漏洞(CVE-2023-23529)�,該漏洞能夠在易受攻擊的 iPhone、iPad 和 Mac 上執(zhí)行任意代碼����。
(碼上科技)
