通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

赶快更新!Apple 出现多个安全漏洞

The Hacker News 网站披露,苹果公司近日推出了 iOS、iPadOS、macOS 的安全更新,以期解决一个 0day 漏洞(追踪为 CVE-2023-23529)。

研究表明,CVE-2023-23529 漏洞与 WebKit 开源浏览器引擎中的类型混淆错误有关,一旦攻击者成功利用,便可在目标系统上执行任意代码。1676439634_63ec705239d7d26b25e1c.png!small?1676439635335

WebKit 是一个主要用于 Safari,Dashboard,Mail 和其它一些 Mac OS X 程序的开源浏览器引擎,在手机上的应用十分广泛(例如 Android、iPhone 等)。此外,WebKit 还应用在 Mac OS X 平台默认的 Safari 桌面浏览器内。

国内某安全厂商监测到多个 Apple 漏洞

除了上述提到的 CVE-2023-23529 安全漏洞,近段时间,国内某安全厂商还监测了多个 Apple 官方发布的安全漏洞通知,主要包括:

Apple Kernel 权限提升漏洞(CVE-2023-23514)

Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)

相较于其它两个漏洞,CVE-2023-23529 影响范围及危害程度最严重,该漏洞允许未经身份认证的远程攻击者诱骗受害者访问其特制的恶意网站,使 WebKit 处理网页内容时触发类型混淆错误,最终在目标系统上实现任意代码执行。

影响苹果多个版本产品:

iPhone 8 及更高版本

iPad Pro(所有型号)

iPad Air 第三代及更高版本

iPad 第五代及更新版本

iPad mini 第五代和更高版本

运行 macOS Ventura 的 Mac

此外,攻击者可组合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升权限并逃逸 Safari 沙箱。值得注意的是,安全研究人员已经发现 Apple WebKit 任意代码执行漏洞 CVE-2023-23529 在野利用的迹象,鉴于这些漏洞影响范围较大,建议客户尽快做好自查及防护。

苹果已发布了安全更新

2 月14 日,苹果官方正式发布了 iOS 16.3.1 安全更新, 修复了 CVE-2023-23529 高危漏洞,建议用户尽快升级。1676439673_63ec70799031ffdd4fcac.png!small?1676439673768

官方更新日志显示,此次安全更新修复了存在于 WebKit 中的漏洞

WebKit 安全漏洞问题存在已久,2022 年,苹果总共修复了 10 个 0day,4 个漏洞是在 WebKit 中发现的。

参考文章:

https://thehackernews.com/2023/02/patch-now-apples-ios-ipados-macos-and.html

Apple fixes the first zero-day in iPhones and Macs this year

https://www.sohu.com/a/640613206_120914897
https://www.secrss.com/articles/51867

文章来自:https://www.freebuf.com/

相关文章