聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是位于 WebKit 中的类型混淆漏洞,苹果已于今年2月13日在更新版本 iPhone 和 iPad中修复。潜在攻击者可利用该漏洞触发操作系统崩溃并获得受陷 iOS 和 iPadOS 设备的代码执行权限。之后,攻击者诱骗受害者打开恶意网页,在目标 iPhone 和 iPad 上执行任意代码。
苹果对该0day 的描述为,“处理恶意构造的 web 内容可能导致任意代码执行后果。苹果已注意到有一份报告称该漏洞可能已遭活跃利用。”苹果还通过增强检查在 iOS 15.7.4 和 iPad 15.7.4 中修复该漏洞。受影响设备包括 iPhone 6s(所有机型)、iPhone 7(所有机型)、iPhone SE(第一代)、iPad Air 2、iPad mini(第四代)和iPod touch(第七代)。
尽管苹果公司注意到有报告称该漏洞已用于攻击中,但尚未发布相关事件详情。不过这是苹果关于在野利用漏洞的标准披露流程,目的是让尽可能多的用户修复设备并拖慢攻击者开发并部署额外exploit 的进程。
虽然 CVE-2023-23529 漏洞可能仅用于针对性攻击中,但强烈建议尽快安装苹果刚发布的安全更新,阻止潜在攻击尝试,保护老旧版本 iPhone 和 iPad 设备的安全。
今年1月份,苹果曾为远程可利用0day (CVE-2022-42856) 向后兼容补丁。
苹果紧急修复已遭利用的 WebKit 0day
恶意广告活动利用 WebKit 0day 实施欺诈
https://www.bleepingcomputer.com/news/apple/apple-fixes-recently-disclosed-webkit-zero-day-on-older-iphones/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~