苹果紧急修复已遭利用的 WebKit 0day

最新推荐文章于 2024-07-24 01:31:12 发布
最新推荐文章于 2024-07-24 01:31:12 发布
阅读量816 收藏
点赞数
文章标签: webkit iphone 前端 ios
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515546&idx=1&sn=f9311f04f319e12385edbfcd698fa495&chksm=ea948cf0dde305e697564ae3c0b973831eece5c572326a20990546b6bacf3bef67450345d514&scene=126&sessionid=0
版权

5683496f946f5ffbaaed46646751f862.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

苹果公司发布紧急安全更新,修复了被用于攻击iPhone、iPad和Mac等设备的新0day。

该0day的编号为CVE-2023-23529,是一个WebKit混淆漏洞,可用于在受陷设备上触发OS崩溃并获得代码执行权限。当用户打开恶意网页时,攻击者可利用该漏洞在运行易受攻击 iOS、iPadOS和macOS版本的设备上执行任意代码。该漏洞还影响macOS Big Sur 和 Monterey 上的Safari 16.3.1。

苹果公司对该0day的说明是“处理恶意构造的web内容可导致任意代码执行。苹果已发现该漏洞遭活跃利用的报告。”

苹果公司已推出iOS 16.3.1、iPadOS 16.3.1和macOS Ventura 13.2.1版本,修复了上述漏洞。受影响设备数量很多,因为该漏洞同时影响老旧版本和新版本,包括:

  • iPhone 8和后续版本

  • iPad Pro(所有机型)、iPad Air第三代及后续版本、iPad第五代及后续版本以及iPad mini第五代及后续版本。

  • 运行macOS Ventura 的Mac设备

另外,苹果还修复了一个释放后使用漏洞 (CVE-2023-23514),攻击者可通过在Mac和iPhone 上的内核权限执行任意代码。

苹果今年修复的第一个0day

尽管苹果公司披露称已发现该漏洞遭在野利用的报告,但尚未发布关于这些攻击的信息。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

苹果修复已遭利用的第10个0day

苹果修复已遭利用的第9枚0day

苹果修复今年以来影响iPhone 和 Mac设备的第8枚0day

苹果紧急修复两个0day

苹果紧急修复影响 Mac 和 Apple Watch 的 0day

原文链接

https://www.bleepingcomputer.com/news/security/apple-fixes-new-webkit-zero-day-exploited-to-hack-iphones-macs/

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

56989b9bfa07d75b7f78d96dde3f3627.jpeg

24e533db2765084f8d6d866cc7be9a24.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   b12df69411de4d39a98eb962e7a2e95d.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
苹果刷机修复助手_V1.2.2.03
06-06
苹果刷机修复助手_V1.2.2.03
如何利用苹果镜像功能简单投屏到电脑.pdf
11-16
如何利用苹果镜像功能简单投屏到电脑.pdf
JsonWebToken远程代码执行漏洞(CVE-2022-23529)
murphysec的博客
01-11 1617
在JsonWebToken
苹果紧急修复利用0day
smellycat000的专栏
03-29 157
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队距离上次为 iOS、iPadOS、macOS 和 watchOS 发布带外补丁仅数周之久,苹果公司再次紧急修复在野利用的 ...
苹果紧急修复利用0day
smellycat000的专栏
07-11 444
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果发布新一轮快速安全响应 (RSR) 更新,修复了一个已利用0day (CVE-2023-37450),影响完全打补丁的 iPhone、Mac 和 iPad。苹果iOS 和 macOS 安全通告中指出,该漏洞由一名匿名研究员发现并报告,“苹果公司注意到一份报告提到该漏洞可能已活跃利用。”苹果公司提醒安装了RSR补丁的系统称,“该快速...
苹果修复老旧设备中的已利用 WebKit 0day
smellycat000的专栏
03-28 505
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果发布安全更新,向后兼容上周发布的补丁,修复老旧 iPhone 和 iPad 中的已利用0day 漏洞CVE-2023-23529。该漏洞是位于 WebKit 中的类型混淆漏洞,苹果已于今年2月13日在更新版本 iPhone 和 iPad中修复。潜在攻击者可利用该漏洞触发操作系统崩溃并获得受陷 iOS 和 iPadOS 设备的代码执行权限。...
苹果紧急修复三枚已在野利用iOS 0day
smellycat000的专栏
01-27 198
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队苹果公司发布安全 iOS 的安全更新,修复在野利用的三个 0day 漏洞。这些漏洞是由一名匿名研究员报告的。在这三个漏洞...
苹果紧急修复利用的3个0day漏洞
smellycat000的专栏
09-22 194
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果紧急修复了已用于攻击 iPhone 和 Mac 用户的三个新0day,将今年已修复0day 漏洞拉升至16个。在这3个新 0day 漏洞中,其中2个位于 WebKit 浏览器引擎 (CVE-2023-41993) 和 Security 框架 (CVE-2023-41991)中,可导致攻击者通过恶意应用绕过签名验证或者通过恶意构造的网页获得...
苹果修复在野利用iOS 和 macOS 0day
smellycat000的专栏
09-24 105
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今日,苹果发布安全更新,修复了一个新0day (CVE-2021-30869)。谷歌安全团队指出该漏洞已在野利用,可攻陷用户设备,位于...
苹果紧急修复两个已利用0day
smellycat000的专栏
09-08 182
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果紧急修复两个已利用的攻击 iPhone 和 Mac 用户的 0day(CVE-2023-41064和CVE-2023-41061),使苹果自今年以来修复的13个0day漏洞数量上升至13个。苹果在安全公告中指出,“苹果发现该问题可能已利用。”这些漏洞位于 Image I/O 和 Wallet 框架中。其中CVE-2023-41064由公民...
苹果紧急修复利用的两个新 iOS 0day漏洞
smellycat000的专栏
03-06 80
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果发布紧急安全更新,修复了已被用于攻击 iPhone 的两个 iOS 0day漏洞。苹果公司在周二发布的安全公告中提到,“苹果从一份报告中了解到该漏洞可能已利用。”这两个漏洞位于 iOS Kernel (CVE-2024-23225) 和RTKit (CVE-2024-23296) 中,均可导致具有任意内核读写能力的攻击者绕过内核内存防护措施...
苹果iPhone APP iOS开发之webkit教程.zip
01-09
苹果iPhone APP iOS开发之webkit教程.zip click事件 CSS3的transition闪屏问题 iOS 浏览器横屏时会重置字体大小的问题 webkit内核中一些私有的meta标签 关闭iOS中键盘自动大写、自动更正、自动完成 其他CSS的杂项 ...
最新苹果cms海螺模板全修复版.zip
11-06
修复前台黑白切换和字体颜色切换失效 修复没有对接控制后台问题 优化换一换功能的片加载速度 修复PC页面下滑空白问题 修复页列表不能滑动问题 修复换一换失效 分享无链接问题 修复页面下拉时顶部透明化 修复列表点击...
苹果CMS主题 MXonePro二开优化修复开源版
06-05
MXPro模板主题(又名:mxonepro)是一款基于苹果cms程序的一款全新的简洁好看UI的影视站模板类似于西瓜视频,不过同对比MxoneV10魔改模板来说功能没有那么多,也没有那么大气,但是比较且可视化功能较多简洁且有周更...
Webkit内核探究——Webkit CSS实现
森明帮大于黑虎帮的博客
07-10 1021
CSS在Webkit中的实现属于相对独立的一个模块,注意这里说的是相对。CSS在Webkit中的作用自然是不言而喻的,在Web早期,文档的结构和样式还未分离的那个时代,HTML担负了文档的结构和样式这两个双重任 务,即HTML既负责文档的结构,同时文档的样式也通过HTML中通过标签的属性来指定。可想而知,在那个时候HMTL页面的开发和使用比起现在而言是多 么的不便。
Webkit浏览器内核探究——Webkit简介
森明帮大于黑虎帮的博客
07-10 2852
Wekbit是一个开源的Web浏览器引擎,也就是浏览器的内核。Apple的Safari, Google的Chrome, Nokia S60平台的默认浏览器,Apple手机的默认浏览器,Android手机的默认浏览器均采用的Webkit作为器浏览器内核。Webkit的采用程度由 此可见一斑,理所当然的成为了当今主流的三大浏览器内核之一。另外两个分别是Gecko和Trident,大名鼎鼎的Firefox便是使用的Gecko 内核,而微软的IE系列则使用的是Trident内核。
【Go - context 速览,场景与用法】
最新发布
qq_38428433的博客
07-24 680
通过这些场景和用法,可以看出context在 Go 中的重要性,特别是在需要控制管理请求生命周期时(控制取消)。
Http 和 Https 的区别(图文详解)
栗筝i的博客
07-22 2379
HTTP(Hypertext Transfer Protocol)和 HTTPS(Hypertext Transfer Protocol Secure)是用于在网络上进行通信的协议。它们的主要区别在于安全性和加密方式。
苹果沙盒机制:安全防御与漏洞利用探讨
"苹果沙盒机制是苹果操作系统中的一种安全机制,旨在限制应用程序的权限,保护用户数据和系统安全。该机制将每个应用程序隔离在自己的‘沙箱’中,不允许它们随意访问系统资源或与其他应用的数据进行交互,除非明确...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值