苹果紧急更新修复了攻击中利用的 3 个新的0day漏洞

苹果发布了紧急安全更新，以修补针对iPhone和Mac用户的攻击中利用的三个新的0day漏洞，苹果今年总共修复了16个0day漏洞。

在 WebKit 浏览器引擎 （CVE-2023-41993） 和安全框架 （CVE-2023-41991） 中发现了两个0day，使攻击者能够使用恶意应用程序绕过签名验证或通过恶意制作的网页获得任意代码执行。

第三个0day是在内核框架中找到的，它提供了 API 并支持内核扩展和内核驻留设备驱动程序。本地攻击者可利用此漏洞 （CVE-2023-41992） 提升权限。

Apple 通过解决证书验证问题和改进的检查，修复了 macOS 12.7/13.6、iOS 16.7/17.0.1、iPadOS 16.7/17.0.1 和 watchOS 9.6.3/10.0.1 中的三个0day漏洞。

“苹果知道一份报告称，这个问题可能已被积极利用，针对iOS 16.7之前的iOS版本。”该公司在描述安全漏洞的安全公告中透露。

受影响的设备列表包括较旧和较新的设备型号，其中包括：

iPhone 8 及更新机型

iPad mini 第 5 代及更新机型

运行 macOS Monterey 及更高版本的 Mac

Apple Watch Series 4 及更新机型

这三个0day漏洞都是由多伦多大学蒙克学院公民实验室的Bill Marczak和谷歌威胁分析小组的Maddie Stone发现并报告的。

虽然苹果尚未提供有关漏洞利用的更多细节，但公民实验室和谷歌威胁分析组织的安全研究人员经常披露针对高风险个人（包括记者、反对派政治家和持不同政见者）的有针对性的间谍软件攻击中滥用的0day漏洞。

公民实验室披露了另外两个0day漏洞（CVE-2023-41061和CVE-2023-41064），苹果也在本月早些时候的紧急安全更新中修复了这些漏洞，并被滥用为零点击漏洞利用链（称为BLASTPASS）的一部分，用NSO Group的Pegasus商业间谍软件感染完全修补的iPhone。

自今年年初以来，苹果还修补了：

• 2023年7月修复两个0day漏洞（CVE-37450-2023 和 CVE-2023-38606）
• 2023年6月修复三个0day漏洞（CVE-32434-2023、CVE-32435-2023 和 CVE-2023-32439）
• 2023年5月修复三个0day漏洞（CVE-32409-2023、CVE-28204-2023 和 CVE-2023-32373）
• 2023年4月修复两个0day漏洞（CVE-28206-2023 和 CVE-2023-28205）
• 以及 2023年2月修复一个 WebKit 0day漏洞 （CVE-2023-23529）

参考链接：

https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/