蘋果公司上周五發(fā)布了iOS、iPadOS、macOS和Safari網(wǎng)絡(luò)瀏覽器的安全更新，以解決在野外被利用的零日漏洞。

漏洞的內(nèi)容如下

• CVE-2023-28205- WebKit 中釋放后使用的問題，在處理特制的 Web 內(nèi)容時(shí)可能導(dǎo)致任意代碼執(zhí)行。
• CVE-2023-28206- IOSurfaceAccelerator 中存在一個(gè)越界寫入問題，該問題可能使應(yīng)用能夠以內(nèi)核權(quán)限執(zhí)行任意代碼。

蘋果表示，目前已經(jīng)通過改進(jìn)內(nèi)存管理解決了CVE-2023-28205，并通過更好的輸入驗(yàn)證解決了第二個(gè)漏洞，雖然現(xiàn)在已經(jīng)修復(fù)但是并不排除這些漏洞“可能已被積極利用”。

發(fā)現(xiàn)和報(bào)告這些漏洞的是谷歌威脅分析小組（TAG）的Clément Lecigne和大赦國(guó)際安全實(shí)驗(yàn)室的Donncha ó Cearbhaill。

鑒于這兩個(gè)漏洞可能正在被利用，為了防止更多的攻擊者濫用這些漏洞，有關(guān)這兩個(gè)漏洞的細(xì)節(jié)并沒有公布。

此次更新在iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1和Safari 16.4.1版本中可用。這些修復(fù)措施也覆蓋了諸多設(shè)備，包括iPhone 8及更高版本、iPad Pro（所有型號(hào)）、iPad Air第三代及更高版本、iPad第五代及更高版本、iPad mini第五代及更高版本、運(yùn)行macOS Big Sur、Monterey和Ventura的Mac電腦。

自今年年初以來，蘋果已經(jīng)修補(bǔ)了三個(gè)零日。此前在2月份，蘋果修復(fù)了WebKit中另一個(gè)被積極利用的零日（CVE-2023-23529），該零日可導(dǎo)致任意代碼執(zhí)行。

根據(jù)Google TAG披露，商業(yè)間諜軟件供應(yīng)商正在利用Android和iOS中的零漏洞，用監(jiān)視惡意軟件感染移動(dòng)設(shè)備。蘋果官方也提醒用戶及時(shí)更新。

參考鏈接：thehackernews.com/2023/04/apple-releases-updates-to-address-zero.html