Apple 出現(xiàn)多個安全漏洞

發(fā)布時間 2023-02-15

The Hacker News 網(wǎng)站披露,蘋果公司近日推出了 iOS、iPadOS、macOS 的安全更新,以期解決一個 0day 漏洞(追蹤為 CVE-2023-23529)。研究表明,CVE-2023-23529 漏洞與 WebKit 開源瀏覽器引擎中的類型混淆錯誤有關(guān),一旦攻擊者成功利用,便可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。


WebKit 是一個主要用于 Safari,Dashboard,Mail 和其它一些 Mac OS X 程序的開源瀏覽器引擎,在手機(jī)上的應(yīng)用十分廣泛(例如 Android、iPhone 等)。此外,WebKit 還應(yīng)用在 Mac OS X 平臺默認(rèn)的 Safari 桌面瀏覽器內(nèi)。


國內(nèi)某安全廠商監(jiān)測到多個 Apple 漏洞


除了上述提到的 CVE-2023-23529 安全漏洞,近段時間,國內(nèi)某安全廠商還監(jiān)測了多個 Apple 官方發(fā)布的安全漏洞通知,主要包括:

Apple Kernel 權(quán)限提升漏洞(CVE-2023-23514)

Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)


相較于其它兩個漏洞,CVE-2023-23529 影響范圍及危害程度最嚴(yán)重,該漏洞允許未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者誘騙受害者訪問其特制的惡意網(wǎng)站,使 WebKit 處理網(wǎng)頁內(nèi)容時觸發(fā)類型混淆錯誤,最終在目標(biāo)系統(tǒng)上實(shí)現(xiàn)任意代碼執(zhí)行。


此外,攻擊者可組合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升權(quán)限并逃逸 Safari 沙箱。值得注意的是,安全研究人員已經(jīng)發(fā)現(xiàn) Apple WebKit 任意代碼執(zhí)行漏洞 CVE-2023-23529 在野利用的跡象,鑒于這些漏洞影響范圍較大,建議客戶盡快做好自查及防護(hù)。


蘋果已發(fā)布了安全更新


2 月14 日,蘋果官方正式發(fā)布了 iOS 16.3.1 安全更新, 修復(fù)了 CVE-2023-23529 高危漏洞,建議用戶盡快升級。