The Hacker News 網(wǎng)站披露，蘋果公司近日推出了 iOS、iPadOS、macOS 的安全更新，以期解決一個 0day 漏洞（追蹤為 CVE-2023-23529）。

研究表明，CVE-2023-23529 漏洞與 WebKit 開源瀏覽器引擎中的類型混淆錯誤有關，一旦攻擊者成功利用，便可在目標系統(tǒng)上執(zhí)行任意代碼。

WebKit 是一個主要用于 Safari，Dashboard，Mail 和其它一些 Mac OS X 程序的開源瀏覽器引擎，在手機上的應用十分廣泛（例如 Android、iPhone 等）。此外，WebKit 還應用在 Mac OS X 平臺默認的 Safari 桌面瀏覽器內(nèi)。

國內(nèi)某安全廠商監(jiān)測到多個 Apple 漏洞

除了上述提到的 CVE-2023-23529 安全漏洞，近段時間，國內(nèi)某安全廠商還監(jiān)測了多個 Apple 官方發(fā)布的安全漏洞通知，主要包括：

• Apple Kernel 權限提升漏洞(CVE-2023-23514)
• Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)

相較于其它兩個漏洞，CVE-2023-23529 影響范圍及危害程度最嚴重，該漏洞允許未經(jīng)身份認證的遠程攻擊者誘騙受害者訪問其特制的惡意網(wǎng)站，使 WebKit 處理網(wǎng)頁內(nèi)容時觸發(fā)類型混淆錯誤，最終在目標系統(tǒng)上實現(xiàn)任意代碼執(zhí)行。

影響蘋果多個版本產(chǎn)品：

• iPhone 8 及更高版本
• iPad Pro（所有型號）
• iPad Air 第三代及更高版本
• iPad 第五代及更新版本
• iPad mini 第五代和更高版本
• 運行 macOS Ventura 的 Mac

此外，攻擊者可組合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升權限并逃逸 Safari 沙箱。值得注意的是，安全研究人員已經(jīng)發(fā)現(xiàn) Apple WebKit 任意代碼執(zhí)行漏洞 CVE-2023-23529 在野利用的跡象，鑒于這些漏洞影響范圍較大，建議客戶盡快做好自查及防護。

蘋果已發(fā)布了安全更新

2 月14 日，蘋果官方正式發(fā)布了 iOS 16.3.1 安全更新， 修復了 CVE-2023-23529 高危漏洞，建議用戶盡快升級。

官方更新日志顯示，此次安全更新修復了存在于 WebKit 中的漏洞

WebKit 安全漏洞問題存在已久，2022 年，蘋果總共修復了 10 個 0day，4 個漏洞是在 WebKit 中發(fā)現(xiàn)的。