苹果昨(13)日发布iOS/iPadOS 16.3.1以及macOS Ventura 13.2.1,以修补3项安全漏洞,包括一个已遭到滥用的WebKit漏洞。
一如苹果产品大部分安全公告,苹果本次也未提供太多技术细节。本次修补的3项漏洞中,编号CVE-2023-23529的漏洞存在macOS及iOS/iPadOS的WebKit浏览器引擎中。它是WebKit对网页内容检查不足而产生的形态混淆(type confusion)瑕疵。该漏洞影响所及,用户以Safari浏览恶意网站时,WebKit处理恶意网页内容而引发漏洞滥用,让攻击者得以执行任意程序代码。
苹果接获匿名研究人员通报,该漏洞已发生实际攻击行动,成为苹果今年修补的第一项零时差漏洞。
最新漏洞影响执行macOS Ventura的Mac计算机,以及iPhone 8以后版本、iPad Pro所有机型、iPad Air第3代、iPad第5代和iPad mini 5以后版本。
另两项漏洞中,CVE-2023-23514存在iOS/iPad及macOS核心,是由盘古实验室及Google Project Zero通报,它是一项使用已释放内存(use after free)漏洞,可让恶意应用程序以核心权限执行任意程序代码。受影响的产品如同前一项漏洞。
最后一项漏洞编号CVE-2023-23522,仅影响macOS Ventura,它位于macOS的捷径中,可让恶意应用程序读取未加防护的用户资料。通报者为阿里巴巴集团安全研究人员。
苹果呼吁用户尽快更新到最新版本操作系统。