Apple修复了两个严重的安全漏洞,这些漏洞允许威胁行为者在易受攻击的设备上运行任意代码,从而可能让他们窃取敏感内容,甚至劫持整个设备。
第一个,跟踪为CVE-2023-23514,是一个免费后使用问题,使黑客能够以内核权限执行任意代码,影响iPhone8及更高版本、所有iPadPro型号、第三代iPadAir及更新版本、第五代iPad及更高版本,以及iPadmini第5代及更高版本的设备。
该漏洞由盘古实验室的XinruChi和GoogleProjectZero的NedWilliamson发现,据报道已通过更好的内存管理得到修复。
这是一个类型混淆问题,已通过改进检查修复,例如通过恶意处理(在新标签页中打开)Apple解释说,精心制作的网络内容,该设备最终可能允许第三方执行任意代码。
Apple表示,该漏洞是由一位匿名研究人员发现的,影响了iPhone8及更新机型、所有iPadPro机型、第三代iPadAir及更新机型、第五代及更新机型iPad以及第五代iPadmini及更新机型。
Apple证实这两个漏洞都在被积极利用,这意味着黑客已经意识到这些问题并正在利用它们来访问设备并窃取有价值的内容。
因此,用户尽快应用修复程序并升级到iOS16.3.1和iPadOS16.3.1至关重要。
Apple的浏览器引擎WebKit是黑客入侵Apple设备的常用攻击媒介,因为它可能允许访问设备的其余数据。
据TechCrunch报道,2022年,Apple修补了9个“可能已被积极利用”的iOS漏洞,其中4个是在WebKit中发现的。其他三个在内核中找到,一个在AppleAVD中,一个在IOMobileFrameBuffer中。