尽快更新！CISA 建议5 月 1 日前更新 iPhone、Mac

网络安全和基础设施安全局 (CISA) 命令联邦机构修补两个在野外被积极利用以破解 iPhone、Mac 和 iPad 的安全漏洞。

根据2022 年 11 月发布的具有约束力的操作指令 (BOD 22-01)，联邦民事行政分支机构 (FCEB) 机构必须针对添加到 CISA已知被利用漏洞目录中的所有安全漏洞修补其系统。

FCEB 机构现在必须在 2023 年5月1日之前确保iOS、iPadOS和 macOS 设备的安全，以防止苹果公司在周五解决并添加到 CISA在周一的攻击中利用的漏洞列表中的两个漏洞。

第一个错误 (CVE-2023-28206) 是一个 IOSurfaceAccelerator 越界写入，它可能允许攻击者使用恶意制作的应用程序在目标设备上以内核权限执行任意代码。

第二个 (CVE-2023-28205) 是一个 WebKit 漏洞利用漏洞，它使威胁行为者能够在诱使目标加载受攻击者控制的恶意网页后在被黑的 iPhone、Mac 或 iPad 上执行恶意代码。

Apple 通过改进输入验证和内存管理解决了 iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1 和 Safari 16.4.1 中的两个日漏洞。

该公司表示，受影响的设备清单非常广泛，其中包括：

• iPhone 8 及更高版本；
• iPad Pro（所有型号）；
• iPad Air 第三代及更新机型；
• iPad 第 5 代及更高版本；
• iPad mini 第 5 代及更新机型；
• 运行 macOS Ventura 的 Mac

这些漏洞是谷歌的威胁分析小组和国际特赦组织的安全实验室发现的，同时作为漏洞利用链的一部分在攻击中被利用。

来自谷歌威胁分析小组的 Clément Lecigne 和来自国际特赦组织安全实验室的 Donncha Ó Cearbhaill 被 Apple 认为报告了这些漏洞。

这两个组织都经常报告政府资助的威胁行为者的活动，其中利用零日漏洞在全球政治家、记者和持不同政见者等高风险个人的设备上安装间谍软件。

Google TAG 和国际特赦组织分享了有关在最近两次部署商业间谍软件的活动中滥用的其他 Android、iOS 和 Chrome 零日和 n 日漏洞的更多信息。

尽管 CISA 今天添加到其 KEV 目录中的漏洞可能只在高度针对性的攻击中被利用，但建议尽快修补它们以防止潜在的攻击。

两个月前，Apple 解决了另一个 WebKit 零日漏洞(CVE-2023-23529)，该漏洞被利用来触发操作系统崩溃并在易受攻击的 iPhone、iPad 和 Mac 上获得代码执行。