聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果公司在周二发布的安全公告中提到,“苹果从一份报告中了解到该漏洞可能已遭利用。”这两个漏洞位于 iOS Kernel (CVE-2024-23225) 和RTKit (CVE-2024-23296) 中,均可导致具有任意内核读写能力的攻击者绕过内核内存防护措施。
该公司表示已通过改进输入验证的方式修复了运行 iOS 17.4、iPad 17.4、iOS 16.76和iPad 16.7.6 版本的设备。
受影响的苹果设备范围广泛,包括:
iPhone XS 及后续版本、iPhone 8、iPhone 8 Plus、iPhone X、iPad 第5代、iPad Pro 9.7英寸以及iPad Pro 12.9英寸第一代。
iPad Pro 12.9英寸第2代及后续版本、iPad Pro 10.5英寸、iPad Pro 11英寸第一代及后续版本、iPad Air 第3代及后续版本、iPad 第6代及后续版本以及iPad mini 第5代及后续版本。
苹果公司尚未透露漏洞披露者的身份或是否是内部发现。
虽然苹果公司并未发布这两个漏洞的在野利用情况,但 iOS 0day 漏洞通常被国家黑客组织用于攻击高风险个人如记者、反对派政客以及异见人士。
虽然这两个 0day 漏洞可能仅用于针对性攻击中,但强烈建议尽快安装所发布的安全更新,阻止潜在攻击尝试。
加上这两个漏洞,苹果在2024年已经修复了三个0day漏洞。去年,该公司共计修复了20个已遭利用的0day漏洞,包括:
11月:两个0day(CVE-2023-42916 和 CVE-2023-42917)
10月:两个0day(CVE-2023-42824 和 CVE-2023-5217)
9月:五个0day(CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992和CVE-2023-41993)
7月:两个0day(CVE-2023-37450 和 CVE-2023-38606)
6月:三个0day(CVE-2023-32434、CVE-2023-32435和CVE-2023-32439)
5月:三个0day(CVE-2023-32409、CVE-2023-28204和 CVE-2023-32373)
4月:两个0day(CVE-2023-28206 和 CVE-2023-28205)
2月:一个WebKit 0day (CVE-2023-23529)
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~