• 首页
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案
目录

苹果设备发现新漏洞,可以恶意访问用户数据

苹果公司修订了它上个月发布的安全公告,更新了影响iOS、iPadOS和macOS的三个新漏洞。

名列前茅个漏洞是Crash Reporter组件中的一个竞赛条件(CVE-2023-23520),可使恶意攻击者以root身份读取任意文件。iPhone制造商表示,它通过额外的验证来解决这个问题。

另外两个漏洞,归功于Trellix研究员Austin Emmitt,位于Foundation框架中(CVE-2023-23530和CVE-2023-23531),可以武器化来实现代码执行。

苹果公司表示:“应用程序可能能够在其沙箱之外执行任意代码或具有某些提升的权限”,并补充说道已经通过“改进的内存处理”修补了这些问题。

在2023年1月23日发货的iOS 16.3、iPadOS 16.3和macOS Ventura 13.2中,这些中度至高度的漏洞已经得到修补。

Trellix在周二自己的报告中,将这两个漏洞归类为 “新的一类漏洞,允许绕过代码签名,在几个平台应用程序的上下文中执行任意代码,导致macOS和iOS上的权限升级和沙盒逃脱”。

这些漏洞还绕过了苹果为解决零点击漏洞而采取的缓解措施,如以色列雇佣军间谍软件供应商NSO集团利用FORCEDENTRY在目标设备上部署Pegasus。

因此,攻击者可以利用这些漏洞冲出沙盒,以更高的权限执行恶意代码,可能会允许访问日历、地址簿、信息、位置数据、通话记录、摄像头、麦克风和照片。

更要注意的的是,这些安全漏洞可以被滥用来安装任意的应用程序,甚至擦除设备。也就是说,利用这些漏洞需要攻击者已经获得了一个最初的立足点。

Austin Emmitt表示:上述漏洞代表了对macOS和iOS安全模型的重大破坏,该模型依赖于单个应用程序对所需资源的子集进行细粒度访问,并查询更高特权的服务以获取其他任何内容。

参考消息:thehackernews.com/2023/02/apple-warns-of-3-new-vulnerabilities.html

文章来自:https://www.freebuf.com/

相关文章

2023年供应商加大车规MLCC投资研发及扩产力度

资讯

苹果吃下台积电3nm全部产能   快速量产A17/M3芯片

资讯

再谈RISC-V有没有机会,搞定高性能市场

资讯

李想辟谣原华为高管李文智出任理想汽车CFO

资讯

可能引发亚洲史诗级数据泄露!阿里、华为、苹果、微软全部受影响

资讯

特斯拉回归4D毫米波雷达:纯视觉方案只是一种商业选择

资讯

5G设备需求放缓,爱立信瑞典裁员1400人

资讯

SiC是如何带动这家日企,营收25%年复合增长的

资讯

重磅!《全球安全倡议概念文件》发布,多项涉及网络安全

资讯

MyloBot 僵尸网络在全球范围内快速蔓延,每天感染超过 50000 台设备

资讯