The Hacker News 网站披露,苹果公司近日推出了 iOS、iPadOS、macOS 的安全更新,以期解决一个 0day 漏洞(追踪为 CVE-2023-23529)。
研究表明,CVE-2023-23529 漏洞与 WebKit 开源浏览器引擎中的类型混淆错误有关,一旦攻击者成功利用,便可在目标系统上执行任意代码。
WebKit 是一个主要用于 Safari,Dashboard,Mail 和其它一些 Mac OS X 程序的开源浏览器引擎,在手机上的应用十分广泛(例如 Android、iPhone 等)。此外,WebKit 还应用在 Mac OS X 平台默认的 Safari 桌面浏览器内。
除了上述提到的 CVE-2023-23529 安全漏洞,近段时间,国内某安全厂商还监测了多个 Apple 官方发布的安全漏洞通知,主要包括:
相较于其它两个漏洞,CVE-2023-23529 影响范围及危害程度最严重,该漏洞允许未经身份认证的远程攻击者诱骗受害者访问其特制的恶意网站,使 WebKit 处理网页内容时触发类型混淆错误,最终在目标系统上实现任意代码执行。
影响苹果多个版本产品:
此外,攻击者可组合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升权限并逃逸 Safari 沙箱。值得注意的是,安全研究人员已经发现 Apple WebKit 任意代码执行漏洞 CVE-2023-23529 在野利用的迹象,鉴于这些漏洞影响范围较大,建议客户尽快做好自查及防护。
2 月14 日,苹果官方正式发布了 iOS 16.3.1 安全更新, 修复了 CVE-2023-23529 高危漏洞,建议用户尽快升级。
官方更新日志显示,此次安全更新修复了存在于 WebKit 中的漏洞
WebKit 安全漏洞问题存在已久,2022 年,苹果总共修复了 10 个 0day,4 个漏洞是在 WebKit 中发现的。
网站名称:赶快更新!Apple出现多个安全漏洞
新闻来源:http://www.shufengxianlan.com/qtweb/news44/323644.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联