Apple修复了两个被iPhone、Mac和iPad设备用户积极利用的零日漏洞。
专家表示,这些缺陷可能允许威胁行为者接管受害者的设备,使他们能够完全访问端点。
这家库比蒂诺巨头在与修复程序一起发布的咨询中表示:“苹果公司知道有报道称此问题可能已被积极利用。”
这两个缺陷被追踪为CVE-2023-28206和CVE-2023-28205。前者是一个IOSurface越界写入漏洞,允许威胁行为者破坏数据、使应用程序和设备崩溃以及远程执行代码。最坏的情况-威胁参与者可能会推送恶意应用程序,允许他们在目标端点上以内核权限执行任意代码。
后者是一个WebKit释放后使用漏洞,具有类似的后果-数据损坏和任意代码执行。对于这个缺陷,最坏的情况是诱骗受害者访问恶意网站,导致远程代码执行。
这些缺陷已在iOS16.4.1、iPadOS16.4.1、macOSVentura13.3.1和Safari16.4.1版本中得到解决,因此,如果您担心这些漏洞,请确保将系统升级到最新版本尽快地。
Apple发布了易受攻击的设备列表,包括iPhone8及更新版本、所有iPadPro、iPadAir3d代及更新版本、iPad5代及更新版本、iPadmini5代及更新版本以及所有macOSVentura设备。
苹果确实表示,它知道威胁行为者在野外滥用零日漏洞,但没有讨论细节。然而,BleepingComputer推测攻击者可能是由国家资助的,因为这些缺陷是由通常寻找政府资助的玩家的研究人员发现的。
发现这些缺陷的研究人员是谷歌威胁分析小组的ClémentLecigne和国际特赦组织安全实验室的DonnchaÓCearbhaill。据称,这些缺陷被用作漏洞利用链的一部分。