苹果已经为老款iphone和ipad发布了安全更新,以支持补丁。
一周前发布
,解决了在攻击中被利用的两个零日漏洞。
“苹果注意到有报告称,这个问题可能被积极地利用在iOS 16.6之前的iOS版本上,”
该公司表示
[nbsp;]
第一个零日漏洞(追踪为CVE-2023-42824)是一个特权升级漏洞,由XNU内核的一个弱点引起,可以让本地攻击者提升易受攻击的iphone和ipad的特权。
苹果现在也在iOS 16.7.1和iPadOS 16.7.1中修复了这个问题,并改进了检查,但它还没有透露是谁发现和报告了这个漏洞。
第二个漏洞是CVE-2023-5217,是由开源libvpx视频编解码器库的VP8编码中的堆缓冲区溢出漏洞引起的。此漏洞可以让攻击者在成功利用后获得任意代码执行。
尽管苹果没有证实有任何非法利用的例子,但谷歌此前曾表示:
将libvpx漏洞修补为零日漏洞
在Chrome浏览器中。微软also
解决了相同的漏洞
在其Edge, Teams和Skype产品中。
谷歌将CVE-2023-5217的发现归功于谷歌威胁分析小组(TAG)的安全研究员Clé Lecigne, TAG是一个安全专家团队,以发现针对高风险个人的国家支持的针对性间谍软件攻击中利用的零日漏洞而闻名。
受这两个零日漏洞影响的设备列表很广泛,包括:
- iPhone 8及更新版本
- iPad Pro(所有型号)、iPad Air第三代及以上、iPad第五代及以上、iPad mini第五代及以上
CISA增加了两个漏洞[
1
,
2
,要求联邦机构保护他们的设备免受即将到来的攻击。
苹果最近还解决了三个零日漏洞。
CVE-2023-41991, CVE-2023-41992和CVE-2023-41993
),这是公民实验室和谷歌TAG的研究人员报告的。威胁行为者利用它们
部署Cytrox的掠夺者间谍软件
.
此外,Citizen Lab还发现了另外两个零日漏洞(
CVE-2023-41061和CVE-2023-41064
苹果公司上个月修复了这些问题。
这些缺陷被利用作为一个系统的一部分。
被称为BLASTPASS的零点击攻击链
并曾在打过补丁的iphone上安装NSO Group的飞马(Pegasus)间谍软件。
自今年年初以来,苹果公司修补了18个针对iphone和mac的零日漏洞,包括:
- 两个零日
(CVE-2023-37450和CVE-2023-38606) - 三个零日
(CVE-2023-32434、CVE-2023-32435和CVE-2023-32439) - 又三个零日
(CVE-2023-32409、CVE-2023-28204和CVE-2023-32373) - 两个零日
(CVE-2023-28206和CVE-2023-28205) - 以及
又一个WebKit零日漏洞
(CVE-2023-23529)
如若转载,请注明出处:https://www.ozabc.com/anquan/537049.html