苹果iOS系统WebKit曝零日漏洞，可突破沙箱边界越界读取

近日，苹果公司推出了iOS、iPadOS、macOS、tvOS、watchOS 和 Safari 浏览器的安全更新，以解决 3 个新的零日漏洞，据称这些漏洞正在野被积极利用。

以下是该3个安全漏洞的基本信息：

• CVE-2023-32409 – WebKit 漏洞，恶意行为者可利用该漏洞突破 Web 内容沙箱。已通过改进边界检查解决这个问题。
• CVE-2023-28204 – WebKit 中的越界读取问题，在处理 Web 内容时可能被滥用以泄露敏感信息。已通过改进输入验证解决这个问题。
• CVE-2023-32373 – WebKit 中的一个免费后使用错误，在处理恶意制作的 Web 内容时可能导致任意代码执行。已通过改进内存管理解决这个问题。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，CVE-2023-28204 和 CVE-2023-32373 作为快速安全响应更新的一部分进行了修补，这些漏洞历来被用作高度针对性入侵的一部分，在持不同政见者、记者和人权活动家等人的设备上部署雇佣间谍软件。

最新的安全更新适用于以下设备和系统：

• iOS 16.5 和 iPadOS 16.5 – iPhone 8 及更新机型、iPad Pro（所有机型）、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型。
• iOS 15.7.6 和 iPadOS 15.7.6 – iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第 1 代）、iPad Air 2、iPad mini（第 4 代）和 iPod touch（第 7 代）。
• macOS Ventura 13.4 – macOS Ventura。
• tvOS 16.5 – Apple TV 4K（所有型号）和 Apple TV HD。
• watchOS 9.5 – Apple Watch Series 4 及更新机型。
• Safari 16.5 – macOS Big Sur 和 macOS Monterey。

自 2023 年初以来，苹果公司已经修复了总共 6 个被积极利用的零日漏洞。今年 2 月早些时候，该公司发现了一个可能导致远程代码执行的WebKit 漏洞 ( CVE-2023-23529 )。

然后在上个月，它发布了针对两个漏洞（CVE-2023-28205 和 CVE-2023-28206）的修复程序，这些漏洞允许以提升的权限执行代码。