苹果0day
苹果公司匆忙发布了iOS、iPadOS、macOS 和 Safari 网络浏览器的紧急软件更新,以扼制两个如野兽般狡猾的安全漏洞。据称,这些漏洞在苹果旧版本的软件中遭到广泛利用,形成了一场无声的数字风暴。
这两个隐患潜伏在WebKit Web 浏览器引擎中,简单来说,就是这是苹果生态系统的心脏。这两只怪兽分别是:
- CVE-2023-42916 – 一次越界读取,专门瞄准 Web 内容,可导致敏感信息的无情泄露。
- CVE-2023-42917 – 内存的末日损坏错误,一旦触发,可能引发对Web内容的任意代码执行,就像黑客的狡猾之手。
苹果声称,已经有报告称这两个漏洞被利用,“针对2023年10月10日发布的iOS 16.7.1之前的iOS版本”可谓是一个毫不留情的打击。谷歌威胁分析小组(TAG)的Clément Lecigne被传为发现并报告了这两个魔鬼般的漏洞。
网络防线摇摇欲坠
苹果制造的iPhone已经不再是高墙之内,因为这次的零日漏洞已经不再只是一场数字游戏。虽然苹果没有透露更多关于这次攻击的细节,但以前曝光的iOS零日漏洞已被用来潜伏在活动人士、异见份子、记者和政治家等高风险个体之间的雇佣式间谍软件。
令人堪忧的是,由于苹果的束缚,所有针对iOS和iPadOS的第三方Web浏览器,包括Google Chrome、Mozilla Firefox和Microsoft Edge等,都依赖于WebKit渲染引擎的支持。这使得它成为一个利润丰厚且广泛受攻击的表面。
保护设备
这次的紧急更新不分青红皂白,适用于以下设备和操作系统:
- iOS 17.1.2 和 iPadOS 17.1.2 – iPhone XS 及更高版本、iPad Pro 12.9 英寸第2代及更高版本、iPad Pro 10.5 英寸、iPad Pro 11 英寸第1代及更高版本、iPad Air 第3代及更高版本、iPad 6代及更高版本,以及 iPad mini 第五代及更高版本。
- macOS Sonoma 14.1.2 – 运行 macOS Sonoma 的 Mac
- Safari 17.1.2 – 运行 macOS Monterey 和 macOS Ventura 的 Mac
通过这次最新的安全修复,自2023年初以来,苹果已经修复了多达19个被主动利用的零日漏洞。而几天前,谷歌也发布了Chrome中一个高度严重的漏洞(CVE-2023-6345)的修复程序,这是该公司今年修复的第七个零日漏洞,也使得Chrome成为现实攻击的牺牲品。黑客们正在这个数字的战场上挑战着现实,而我们,不得不更加坚固地保卫我们的数字堡垒。
📮评论