HackerNews网站披露,Apple最近推出了针对iOS、iPadOS和macOS的安全更新,以解决一个0day漏洞(追踪为CVE-2023-23529)。研究表明,CVE-2023-23529漏洞与WebKit开源浏览器引擎中的类型混淆错误有关,如果成功利用该漏洞,可能允许在目标系统上执行任意代码。WebKit是一个开源的浏览器引擎,主要用于Safari、Dashboard、Mail等一些MacOSX程序,在手机(如Android、iPhone等)上应用也很广泛。此外,MacOSX平台默认的Safari桌面浏览器中也使用了WebKit。国内安全厂商检测到苹果多个漏洞除了上述CVE-2023-23529安全漏洞外,近日,国内安全厂商还监测到苹果官方发布的多个安全漏洞通报,主要包括:苹果内核权限提升漏洞(CVE-2023-23514)ApplemacOSVentura敏感信息泄露漏洞(CVE-2023-23522)与其他两个漏洞相比,CVE-2023-23529的影响和危害程度最为严重。该漏洞允许未经授权、经过身份验证的远程攻击者诱骗受害者访问其特制的恶意网站,导致WebKit在处理网页内容时触发类型混淆错误,最终实现在目标系统上执行任意代码。影响多个版本的Apple产品:iPhone8及更高版本iPadPro(所有型号)iPadAir第三代及更高版本iPad第五代及更高版本iPadmini第五代及更高版本运行macOSVentura的Mac此外,攻击者可以结合CVE-2023-23529和CVE-2023-23514漏洞以提升权限和逃避Safari沙箱。值得注意的是,安全研究人员发现了AppleWebKit任意代码执行漏洞CVE-2023-23529被野外利用的迹象。鉴于该漏洞影响较大,建议客户尽快进行自查和防护。Apple发布了安全更新。2月14日,苹果正式发布iOS16.3.1安全更新,修复高危漏洞CVE-2023-23529。建议用户尽快升级。官方更新日志显示,本次安全更新修复了WebKit中存在的漏洞。
