在最新的安全更新,Apple 修復了兩個零日漏洞:CVE-2023-42916、CVE-2023-42917,這兩個WebKit漏洞存在於iOS 16.7.1 之前的 iOS 版本並可能被利用。
CVE-2023-42916 是一個越界讀取漏洞,而 CVE-2023-42917 是一個允許可利用的記憶體損壞的漏洞。
兩者都會影響 WebKit,這是 Apple 開發的瀏覽器引擎, Safari 網路瀏覽器以及 iOS 和 iPadOS 上的所有網頁瀏覽器都使用該引擎。
CVE-2023-42916 可能導致敏感資訊洩露,而 CVE-2023-42917 允許任意程式碼執行。這兩個缺陷都可以透過 Safari 處理特殊的網頁內容來觸發。
Google 威脅分析小組 (TAG) 已向 Apple 報告了這些漏洞。按照慣例,Apple 沒有透露有關利用這些 0day 漏洞攻擊的詳細訊息。但Google TAG 擅長會發現用於目標個人,如記者、政治異見人士、活動人士等,傳送國家資助的間諜軟體的0day漏洞。
這兩個漏洞的安全性更新可用於:
- 運行最新 iOS 和 iPadOS 的iPhone 和 iPad 用戶
- Mac 用戶執行
- 運行 macOS Monterey 和 macOS Ventura 的 Mac 用戶 –更新版本的 Safari附帶了修復程式
這些漏洞可能已在針對性極強的攻擊中被利用,但Apple建議所有用戶盡快更新iOS版本。
Apple表示,16.7.1 之前的 iOS 版本容易受漏洞影顯,但沒有說明 iOS 16.7.1 和iOS 16.7.2(最新的 iOS 16 版本)是否容易受到攻擊。如果是的話,蘋果可能很快就會為 iOS 16 推出新的安全性更新。
本文轉載自Helpnetsecurity。