蘋果修復舊款蘋果裝置兩個0day漏洞,可導致敏感內容劫持、任意程式碼執行攻擊

Editor發表於2023-12-01

11月30日,蘋果公司釋出了一份安全更新,以解決針對舊款iPhone、iPad和Mac裝置的兩個正在被利用的零日漏洞。這兩個漏洞存在於WebKit瀏覽器引擎中,可被攻擊者用於劫持敏感內容或發起任意程式碼執行攻擊。


根據蘋果官網公告,其中一個漏洞(CVE-2023-42916)是一個越界讀取問題,使得在處理網頁內容時導致敏感資訊洩露。另一個漏洞(CVE-2023-42917)是一個記憶體損壞漏洞,使得在處理網頁內容時允許任意程式碼執行。這兩個漏洞都是由谷歌威脅分析組(TAG)的安全研究員Clément Lecigne發現並報告的。


蘋果修復舊款蘋果裝置兩個0day漏洞,可導致敏感內容劫持、任意程式碼執行攻擊


蘋果表示,其已瞭解到有報告稱,這些問題可能已經被利用來攻擊早於iOS 16.7.1版本的裝置。受影響的蘋果裝置範圍廣泛,包括:

iPhone XS及更高版本;

iPad Pro 12.9英寸第二代及更高版本、iPad Pro 10.5英寸、iPad Pro 11英寸第一代及更高版本、iPad Air第三代及更高版本、iPad第六代及更高版本、iPad mini第五代及更高版本;

另外,該補丁還適用於macOS Sonoma(版本14.1.2),以及macOS Monterey和macOS Ventura上的Safari(版本17.1.2)。


關於這些最近被利用的漏洞,蘋果目前尚未公佈更多細節。因為依照慣例,為了保護其客戶,蘋果在進行調查並提供補丁或版本之前都不會披露、討論或確認安全問題。為阻止可能針對舊款蘋果裝置的攻擊嘗試,建議蘋果使用者儘快安裝最新的安全更新。



編輯:左右裡

資訊來源:Apple、redhotcyber

轉載請註明出處和本文連結

相關文章