Apple 出現(xiàn)多個(gè)安全漏洞

發(fā)布時(shí)間 2023-02-15

The Hacker News 網(wǎng)站披露,蘋(píng)果公司近日推出了 iOS、iPadOS、macOS 的安全更新,以期解決一個(gè) 0day 漏洞(追蹤為 CVE-2023-23529)。研究表明,CVE-2023-23529 漏洞與 WebKit 開(kāi)源瀏覽器引擎中的類(lèi)型混淆錯(cuò)誤有關(guān),一旦攻擊者成功利用,便可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。


WebKit 是一個(gè)主要用于 Safari,Dashboard,Mail 和其它一些 Mac OS X 程序的開(kāi)源瀏覽器引擎,在手機(jī)上的應(yīng)用十分廣泛(例如 Android、iPhone 等)。此外,WebKit 還應(yīng)用在 Mac OS X 平臺(tái)默認(rèn)的 Safari 桌面瀏覽器內(nèi)。


國(guó)內(nèi)某安全廠商監(jiān)測(cè)到多個(gè) Apple 漏洞


除了上述提到的 CVE-2023-23529 安全漏洞,近段時(shí)間,國(guó)內(nèi)某安全廠商還監(jiān)測(cè)了多個(gè) Apple 官方發(fā)布的安全漏洞通知,主要包括:

Apple Kernel 權(quán)限提升漏洞(CVE-2023-23514)

Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)


相較于其它兩個(gè)漏洞,CVE-2023-23529 影響范圍及危害程度最嚴(yán)重,該漏洞允許未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者誘騙受害者訪問(wèn)其特制的惡意網(wǎng)站,使 WebKit 處理網(wǎng)頁(yè)內(nèi)容時(shí)觸發(fā)類(lèi)型混淆錯(cuò)誤,最終在目標(biāo)系統(tǒng)上實(shí)現(xiàn)任意代碼執(zhí)行。


此外,攻擊者可組合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升權(quán)限并逃逸 Safari 沙箱。值得注意的是,安全研究人員已經(jīng)發(fā)現(xiàn) Apple WebKit 任意代碼執(zhí)行漏洞 CVE-2023-23529 在野利用的跡象,鑒于這些漏洞影響范圍較大,建議客戶盡快做好自查及防護(hù)。


蘋(píng)果已發(fā)布了安全更新


2 月14 日,蘋(píng)果官方正式發(fā)布了 iOS 16.3.1 安全更新, 修復(fù)了 CVE-2023-23529 高危漏洞,建議用戶盡快升級(jí)。