HackerNews 编译,转载请注明出处:
周一,苹果发布了 iOS、iPadOS、macOS、tvOS 和 Safari Web 浏览器的安全更新,以解决一种在野外被积极利用的零日漏洞。
该漏洞被追踪为 CVE-2024-23222,是一种类型混淆漏洞,黑客可以利用该漏洞在处理恶意构造的 Web 内容时实现任意代码执行。苹果公司表示,通过改进检查已经解决了这个问题。
类型混淆漏洞通常可以被利用来执行越界内存访问,或导致崩溃和任意代码执行。
苹果在一份简短的公告中承认,“我们知道有报告称这个问题可能已被利用”,但没有分享关于攻击性质或利用这一漏洞的黑客的其他具体信息。
更新适用于以下设备和操作系统:
- iOS 17.3 和 iPadOS 17.3 – iPhone XS 及更高版本,iPad Pro 12.9 英寸第二代及更高版本,iPad Pro 10.5 英寸,iPad Pro 11 英寸第一代及更高版本,iPad Air 第三代及更高版本,iPad 第六代及更高版本,以及 iPad mini 第五代及更高版本
- iOS 16.7.5 和 iPadOS 16.7.5 – iPhone 8,iPhone 8 Plus,iPhone X,iPad 第五代,iPad Pro 9.7 英寸,以及 iPad Pro 12.9 英寸第一代
- macOS Sonoma 14.3 – 运行 macOS Sonoma 的 Mac
- macOS Ventura 13.6.4 – 运行 macOS Ventura 的 Mac
- macOS Monterey 12.7.3 – 运行 macOS Monterey 的 Mac
- tvOS 17.3 – Apple TV HD 和 Apple TV 4K(所有型号)
- Safari 17.3 – 运行 macOS Monterey 和 macOS Ventura 的 Mac
这一进展标志着苹果今年第一次修补主动利用的零日漏洞。去年,这家 iPhone 制造商解决了20 个在现实攻击中被利用的零日漏洞。
此外,苹果还将 2023 年 12 月发布的 CVE-2023-42916 和 CVE-2023-42917 的修复措施回溯到旧设备上 :
- iOS 15.8.1 和 iPadOS 15.8.1 – iPhone 6s(所有型号),iPhone 7(所有型号),iPhone SE(第一代),iPad Air 2,iPad mini(第四代)和 iPod touch(第七代)
这一揭露紧随一份报告之后,中国当局透露他们曾利用苹果 AirDrop 功能中已知的先前漏洞,基于彩虹表的技术以帮助执法机构识别发送不当内容的用户。
消息来源:thehackernews,译者:Claire;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文