聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果在上周三紧急修复了两个已遭利用的0day 漏洞(CVE-2023-42824和CVE-2023-5217)。
苹果公司发布安全公告指出,“苹果注意到报告称该漏洞被用于 iOS 16.6之前的版本。”第一个漏洞CVE-2023-42824因XNU内核中存在一个弱点引发,可导致本地攻击者在未修复的 iPhone 和 iPad 上实现提权。
尽管苹果公司表示已通过改进检查在 iOS 17.0.3和 iPadOS 17.0.3 上修复了该漏洞,但尚未披露发现并报告该漏洞的人员。
受影响设备范围广泛,包括:
iPhone XS及后续版本
iPad Pro 12.9英寸第二代及后续版本、iPad Pro 10.5英寸、 iPad Pro 11英寸第一代及后续版本、iPad Air 第3代及后续版本、iPad 第6代及后续版本以及iPad mini 第5代及后续版本。
苹果修复的第二个新0day 是CVE-2023-5217,是由开源的libvpx 视频编码库的VP8 编码造成的,如被成功利用,可导致任意代码执行后果。虽然苹果并未将其标记为已遭在野利用,但谷歌和微软之前都曾这个漏洞。该漏洞是由谷歌TAG团队研究员发现的。
今年已修复18个已遭利用0day
CVE-2023-42824是苹果自今年年初以来修复的第17个已遭利用漏洞。
最近,苹果公司还修复了由公民实验室和谷歌TAG团队发现的三个0day漏洞CVE-2023-41991、CVE-2023-41992和CVE-2023-41993。上个月,公民实验室披露了两个0day漏洞CV-E2023-41061和CVE-2023-41064,它们被用于零点击利用链BLASTPASS中,利用NSO 集团的Pegasus 监控软件感染已被完全修复的iPhone。
其它0day漏洞包括:
7月修复两个0day:CVE-2023-37450和CVE-2023-38606
6月修复3个0day:CVE-2023-32434、CVE-2023-32435和CVE-2023-32439
5月修复3个0day:CVE-2023-32409、CVE-2023-28204和CVE-2023-32373
4月修复2个0day:CVE-2023-28306和CVE-2023-28205
2月修复了1个Webkit 0day:CVE-2023-23529
今天发布的 iOS 17.0.3 还修复了导致运行 iOS 17.0.3及以下版本的iPhone 过热的一个已知问题。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
苹果员工在CTF大赛发现谷歌0day秘而不报 $10000赏金由他人获得
原文链接
https://www.bleepingcomputer.com/news/apple/apple-emergency-update-fixes-new-zero-day-used-to-hack-iphones/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
