蘋果公司發布了安全更新，修復針對 iPhone、Mac 和 iPad 的零日漏洞。

蘋果公司在一份公告中描述了一個 WebKit 漏洞，該漏洞被標記為 CVE-2023-37450，已在本月初的新一輪快速安全響應 (RSR) 更新中得到解決。

本次修補的另一個零日漏洞是一個新的內核漏洞，被追標記為 CVE-2023-38606，該漏洞主要針對運行舊版的 iOS 設備。

蘋果公司表示：我們注意到有報告稱，該漏洞可能已在 iOS 15.7.1 之前發布的 iOS 版本中被主動利用。

攻擊者可以在未打補丁的設備上利用它來修改敏感的內核狀態。目前蘋果公司已通過改進檢查和狀態管理修復了這兩個漏洞。

卡巴斯基 GReAT 首席安全研究員 Boris Larin 稱，CVE-2023-38606 是零點擊漏洞利用鏈的一部分，用于通過 iMessage 在 iPhone 上部署 Triangulation 間諜軟件。

該公司還向運行 tvOS 16.6 和 watchOS 9.6 的設備回傳了 5 月份修復的零日漏洞（CVE-2023-32409）的安全補丁。

蘋果通過改進邊界檢查、輸入驗證和內存管理，解決了 macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 以及 Safari 16.5 中的三個零日漏洞。

本次修復的兩個零日漏洞影響的設備非常廣，包括各種型號的 iPhone 和 iPad，以及運行 macOS Big Sur、Monterey 和 Ventura 的 Mac。

今年修復的第十一個零日漏洞

自今年年初以來，蘋果已經修復了 11 個被攻擊者利用的零日漏洞。

本月初的時候，蘋果發布了快速安全響應（RSR）更新，以修復影響 iPhone、Mac 和 iPad 的漏洞（CVE-2023-37450）。

但是由于RSR 更新破壞了一些網站的網頁瀏覽，該公司又在兩天后發布了漏洞補丁的修復版本。

在此之前，蘋果還修復了：

• 6 月份的三個零點漏洞（CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439）
• 5 月份又處理了三個零點漏洞（CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373）
• 4 月份的兩個零日漏洞（CVE-2023-28206 和 CVE-2023-28205）
• 以及 2 月份的另一個 WebKit 零日漏洞（CVE-2023-23529）

總計十一個零日漏洞。

參考鏈接：https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-macs/