苹果紧急修复已遭利用的两个新 iOS 0day漏洞
2024-3-6 15:15:29 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

苹果发布紧急安全更新,修复了已被用于攻击 iPhone 的两个 iOS 0day漏洞。

苹果公司在周二发布的安全公告中提到,“苹果从一份报告中了解到该漏洞可能已遭利用。”这两个漏洞位于 iOS Kernel (CVE-2024-23225) 和RTKit (CVE-2024-23296) 中,均可导致具有任意内核读写能力的攻击者绕过内核内存防护措施。

该公司表示已通过改进输入验证的方式修复了运行 iOS 17.4、iPad 17.4、iOS 16.76和iPad 16.7.6 版本的设备。

受影响的苹果设备范围广泛,包括:

  • iPhone XS 及后续版本、iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5代、iPad Pro 9.7英寸以及iPad Pro 12.9英寸第一代。

  • iPad Pro 12.9英寸第2代及后续版本、iPad Pro 10.5英寸、iPad Pro 11英寸第一代及后续版本、iPad Air 第3代及后续版本、iPad 第6代及后续版本以及iPad mini 第5代及后续版本。

苹果公司尚未透露漏洞披露者的身份或是否是内部发现。

虽然苹果公司并未发布这两个漏洞的在野利用情况,但 iOS 0day 漏洞通常被国家黑客组织用于攻击高风险个人如记者、反对派政客以及异见人士。

虽然这两个 0day 漏洞可能仅用于针对性攻击中,但强烈建议尽快安装所发布的安全更新,阻止潜在攻击尝试。

加上这两个漏洞,苹果在2024年已经修复了三个0day漏洞。去年,该公司共计修复了20个已遭利用的0day漏洞,包括:

  • 11月:两个0day(CVE-2023-42916 和 CVE-2023-42917)

  • 10月:两个0day(CVE-2023-42824 和 CVE-2023-5217)

  • 9月:五个0day(CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992和CVE-2023-41993)

  • 7月:两个0day(CVE-2023-37450 和 CVE-2023-38606)

  • 6月:三个0day(CVE-2023-32434、CVE-2023-32435和CVE-2023-32439)

  • 5月:三个0day(CVE-2023-32409、CVE-2023-28204和 CVE-2023-32373)

  • 4月:两个0day(CVE-2023-28206 和 CVE-2023-28205)

  • 2月:一个WebKit 0day (CVE-2023-23529)

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

苹果修复2024年遭利用的第1个0day漏洞

苹果紧急修复两个 iOS 0day漏洞

苹果再次紧急修复两个0day漏洞

苹果紧急修复已遭利用的3个0day漏洞

苹果紧急修复两个已遭利用的 0day

原文链接
https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-exploited-in-attacks-on-iphones/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519003&idx=1&sn=87b2f80deede9f2cb8e1092e9732820f&chksm=ea94ba71dde333675f4150799bb36ccc5360912e77c0af8aef77e7426b9b0c244aabb76833e4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh