苹果紧急修复已遭利用的 WebKit 0day
编译:代码卫士
该0day的编号为CVE-2023-23529,是一个WebKit混淆漏洞,可用于在受陷设备上触发OS崩溃并获得代码执行权限。当用户打开恶意网页时,攻击者可利用该漏洞在运行易受攻击 iOS、iPadOS和macOS版本的设备上执行任意代码。该漏洞还影响macOS Big Sur 和 Monterey 上的Safari 16.3.1。
苹果公司对该0day的说明是“处理恶意构造的web内容可导致任意代码执行。苹果已发现该漏洞遭活跃利用的报告。”
苹果公司已推出iOS 16.3.1、iPadOS 16.3.1和macOS Ventura 13.2.1版本,修复了上述漏洞。受影响设备数量很多,因为该漏洞同时影响老旧版本和新版本,包括:
iPhone 8和后续版本
iPad Pro(所有机型)、iPad Air第三代及后续版本、iPad第五代及后续版本以及iPad mini第五代及后续版本。
运行macOS Ventura 的Mac设备
另外,苹果还修复了一个释放后使用漏洞 (CVE-2023-23514),攻击者可通过在Mac和iPhone 上的内核权限执行任意代码。
尽管苹果公司披露称已发现该漏洞遭在野利用的报告,但尚未发布关于这些攻击的信息。
https://www.bleepingcomputer.com/news/security/apple-fixes-new-webkit-zero-day-exploited-to-hack-iphones-macs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。