苹果更新安全公告,新增三个漏洞

最新推荐文章于 2024-07-17 23:48:55 发布
最新推荐文章于 2024-07-17 23:48:55 发布
阅读量852 收藏
点赞数
文章标签: 安全 ios
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515674&idx=2&sn=bcbd823a17b7b53fa3727413e8b16af7&chksm=ea948f70dde3066650f26a64de4d11fa90f8b89d0724f7d08d98105e9d23003c590c5def6010&scene=126&sessionid=0
版权

9b83065baac5ea506dcf5e8d44ba3324.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周一,苹果公司更新了多份安全公告,新增iOS 和macOS 漏洞,其中包括几个新型漏洞。

iOS 16.3和macOS Ventura 13.2 安全公告,最初在1月23日发布,最近新增了三个漏洞。其中一个新增漏洞是CVE-2023-23520,它是影响崩溃报告组件的一个条件竞争漏洞,可导致攻击者以root身份读取任意文件。

另外两个漏洞影响苹果操作系统中的“Foundation”组件,可导致攻击者“在沙箱中或以特定的权限提升执行任意代码。”它们的编号是CVE-2023-23530和CVE-2023-23531,是由Trellix公司报告的。

Trellix 公司在本周二发布文章说明了这些漏洞,提到这些漏洞可导致攻击者绕过macOS 和 iOS 系统上代码签名,属于新型漏洞类型。Trellix 公司的分析基于之前实际遭在野利用的漏洞研究和利用。Trellix 公司表示CVE-0223-23530和CVE-2023-23531打开了“大规模的潜在漏洞”,目前研究人员正在调查中。

这些漏洞和iOS 安全研究员CodeColorist 在2019年和2020年开展的研究有关。他当时所描述的技术似乎是威胁组织的灵感来源,后者在2021年将Pegasus 间谍软件传播到iPhone 中。这些攻击中所使用的利用被称为 “ForceEntry”,由苹果公司在2021年9月修复。

苹果公司已采取多种措施阻止漏洞遭利用,但Trellix公司的研究员发现缓解措施可被绕过。攻击者如能访问目标系统,则可利用这些漏洞攻破iOS 和 macOS 上的进程隔离。根据目标进程的角色和权限,攻击者可访问敏感信息(日立、地址簿、照片)、安装任意应用或监控用户。

除了一月份的iOS 和macOS安全公告外,苹果公司还在二月份的安全公告中新增了关于谷歌研究员报送的拒绝服务漏洞说明。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

苹果紧急修复已遭利用的 WebKit 0day

苹果修复已遭利用的第10个0day

苹果修复今年以来影响iPhone 和 Mac设备的第8枚0day

苹果发布iOS更新,修复老旧版本中已遭利用的漏洞

原文链接

https://www.securityweek.com/apple-updates-advisories-as-security-firm-discloses-new-class-of-vulnerabilities/

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

9b56d6588793628567ac3ac8ea1d193c.jpeg

7a3570dd09b3501ccca2c96a8728c971.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   994edf324c01033939442670e3ed0f6b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
13.3 (17C54).zip
01-13
标题中的“13.3 (17C54).zip”指的是iOS操作系统的第十三个主要版本,也就是iOS 13.3,其中的17C54是该版本的具体构建号。iOS 13是苹果公司为iPhone、iPad以及iPod touch推出的系统更新,带来了多项性能改进和新功能...
IOS14.4.zip
04-20
2. **安全修复**:此版本包含重要的安全更新,修补了可能被攻击者利用的漏洞,包括针对WebKit的漏洞,保护用户的隐私和数据安全。 3. **蓝牙设备识别**:新增了对未知蓝牙设备类型的分类,帮助用户更好地了解与设备...
苹果系统漏洞频现 锁屏密码完全失效
weixin_33743248的博客
07-03 367
苹果iOS系统被指存在漏洞,其可能被利用使得锁屏密码完全失效。 安全研究公司“漏洞实验室”分析师本杰明·昆兹发布报告指出,通过一个应用程序升级漏洞,本地的恶意攻击者能够绕过密码锁屏保护,用户通过处理安装一个手机iOS应用程序导致漏洞的发生。恶意攻击者完全可以利用该漏洞,绕过锁屏密码,然后使目标设备出现应用程序无限循环现象。 报道称,这一漏洞已经在官方的苹...
别怕丨苹果MacOS被爆系统漏洞 教你如何避免
IT耳朵
11-30 725
作者:大宝 编辑:竹一 图片:大宝 官网:iterduo.com 11月29日,有外媒指出苹果公司的新版macOS High Sierra系统曝出严重漏洞:用户不需要密码,只需输入用户名“root”即可进入系统。  macOS High Sierra的这一严重漏洞能够让任何人获得Mac系统的根访问权限。目前,苹果已经承认这一重大疏漏,苹果在一份声明中称,公司正在为
苹果系统新致命漏洞,黑客可以随意控制您的手机设备
w3cschools的博客
04-21 9754
国内知名黑客组织东方联盟的安全研究人员发现了苹果一个新的漏洞,可能会让黑客在您不知情的情况下访问您的iPhone和iPad。一旦用户授权他们的设备与黑客连接到同一个Wi-Fi网络,他们称这种漏洞为“信任劫持”,从而允许您无线管理iOS设备。东方联盟创始人兼黑客教父郭盛华:“一旦建立起这种信任关系,一切皆有可能,它引入了一种新的攻击媒介。”第一步需要您在安装完成后通过USB电缆将设备连接到计算机,但...
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
smellycat000的专栏
12-10 4449
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞。经过分析,该组件存在Java JND...
电子商务安全与管理.pptx
09-21
以2006年为例,金山公司的报告指出,电脑病毒数量呈现爆炸性增长,新增病毒样本数量是前三年的三倍,其中90%以上的病毒带有明显的非法盈利目的,特别是针对网络财产如网银、网游账户和QQ号码的木马占比高达51%。...
Firefox火狐浏览器官方93.0b2-mac版本dmg安装包
12-28
官方发布的93.0b2-mac版本是针对苹果Mac OS操作系统的一个更新版本,旨在提供更好的性能、稳定性和新功能。 在Mac系统中,`.dmg`文件是一种常见的镜像文件格式,用于存储应用程序或软件的安装包。"Firefox 93.0b2....
Firefox火狐浏览器官方36.0-mac版本dmg安装包
12-27
- **安全性增强**:这一版本可能包含了对最新安全漏洞的修复,确保用户的在线浏览安全。 - **性能优化**:Firefox 36.0可能对浏览器的加载速度和内存占用进行了优化,提供更流畅的浏览体验。 - **新增功能**:可能...
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 809
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 510
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 565
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 1061
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 653
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 832
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 914
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
HLS加密技术:保障流媒体内容安全的利器
jiamisoft的博客
07-17 974
HLS是一种由苹果公司提出的基于HTTP的流媒体网络传输协议,它允许将音视频文件编码为可播放的多媒体流,并通过HTTP协议进行传输。这种传输方式不仅具有广泛的网络适应性,还支持自适应比特率和分辨率,从而为用户提供流畅的观看体验。然而,HLS本身并不包含专门的加密方式,需要配合其他加密和防护措施来实现内容的安全传输。HLS加密技术的核心思想是将视频流分段,并对每个分段进行加密处理。在客户端播放时,需要先获取解密密钥才能正常播放。
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 466
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
苹果macOS 12.0 Monterey安全测评文件
CIS-Apple-macOS-12.0-Monterey-Benchmark-v2.0.0.pdf是一份由CIS(Center for Internet Security)针对苹果macOS 12.0 Monterey版本进行的安全测评文件。该文件旨在为有需要的同学提供关于macOS 12.0 Monterey版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值