Bleeping Computer 網(wǎng)站披露，安全研究人員在 WebKit 瀏覽器引擎中發(fā)現(xiàn)了三個零日漏洞，分別被跟蹤為 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373，網(wǎng)絡(luò)攻擊者可以利用這些漏洞，針對 iPhone、Mac 和 iPad 展開網(wǎng)絡(luò)攻擊活動。

漏洞詳情

網(wǎng)絡(luò)攻擊者可以利用上述三個漏洞，侵入用戶設(shè)備訪問用戶敏感信息，甚至可以誘使受害者目標(biāo)加載惡意制作的網(wǎng)頁（網(wǎng)絡(luò)內(nèi)容），在受損設(shè)備上執(zhí)行任意代碼。接收到漏洞反饋后，蘋果公司通過改進(jìn)邊界檢查、輸入驗(yàn)證和內(nèi)存管理，解決了漏洞問題。

據(jù)悉，macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 等都會受到漏洞影響。具體受影響機(jī)型包括：

• iPhone 6s（所有型號）、iPhone 7（所有型號的）、iPhone SE（第一代）；iPad Air 2、iPad mini（第四代）、iPod touch（第七代）和 iPhone 8 及更高版本；
• iPad Pro（所有型號）、iPad Air 第三代及以后、iPad 第五代及更高版本、iPad mini 第五代及更高版本；
• 運(yùn)行 macOS Big Sur、Monterey 和 Ventura 的 Mac 電腦 ；
• Apple Watch Series 4 及更高版本
• Apple TV 4K（所有型號）和 Apple TV HD 。

蘋果表示公司內(nèi)部已經(jīng)知道了三個零日漏洞正在野外被積極利用，5 月 1 日發(fā)布的 iOS 16.4.1 和 macOS 13.3.1設(shè)備的快速安全響應(yīng)（RSR）補(bǔ)丁解決 CVE-2023-28204 和 CVE-2023-32373 這兩個漏洞問題。

谷歌威脅分析小組成員 Clément Lecigne 和 Amnesty International's 安全實(shí)驗(yàn)室成員 Donncha ó Cearbhaill 發(fā)現(xiàn)并報(bào)告了CVE-2023-32409。這兩名研究人員所屬的組織會定期披露具有國家背景的黑客活動，這些網(wǎng)絡(luò)犯罪分子利用零日漏洞在政客、記者、持不同政見者等人員的智能手機(jī)和電腦上部署間諜軟件。

2023 年初以來，蘋果修復(fù)了多個零日漏洞

進(jìn)入 2023 年以來，蘋果多次爆出安全漏洞。2 月份，蘋果公司解決了一個 WebKit 零日（CVE-2023-23529）問題，該漏洞可以被攻擊者用來在易受攻擊的 iPhone、iPad 和 Mac 上執(zhí)行代碼；4月份，蘋果修復(fù)了兩個零日漏洞 CVE-2023-28206 和 CVE-2023-20205，攻擊者可以利用這兩個漏洞在目標(biāo)設(shè)備上部署商業(yè)間諜軟件。

文章來源：https://www.bleepingcomputer.com/news/apple/apple-fixes-three-new-zero-days-exploited-to-hack-iphones-macs/