Apple修复了2024年首个被利用的零日漏洞

Apple Shortcuts安全漏洞(CVE-2024-23204)允许攻击者访问目标设备并窃取敏感数据，官方敦促立即更新您的设备！

苹果于7月10日发布了新一轮快速安全响应 更新，以解决在攻击中利用的一个新零日漏洞。苹果在更新公告中也表示这是一个重要修复，建议所有用户进行安装。此次漏洞发现于苹果开发的WebKit 浏览器引擎中，允许攻击者通过钓鱼方式诱导受害者打开包含恶意内容的网页，在目标设备上获得任意代码执行。

10月11日，苹果发布了iOS 15.0.2和iPadOS 15.0.2安全更新，以修复一个0day漏洞，据称该漏洞已被积极利用。

微软Microsoft 365 Defender研究团队指出，这项编号CVE-2021-30970、名称为powerdir的漏洞，可让攻击者绕过macOS的Transparency Consent and Control（TCC）技术，非授权存取使用者的档案。在微软通报下，苹果已经在去年12月13日发布安全更新，包括macOS Monterey 12.1及macOS Big Sur 11.6.2

Citizen Lab周一表示，以色列网络监控公司NSO Group发现苹果iPhone有漏洞，黑客可以用一种之前未见过的技术入侵苹果设备。这一发现相当重要，它意味着不需要用户的参与黑客就能影响所有版本的iOS、OSX、watchOS。苹果发消息称，在周一的软件更新中已经修复漏洞。

苹果公司敦促macOS、iPhone和iPad用户在本周尽快安装设备的更新文件，这其中包括对两个处于主动攻击下的0 day漏洞的修复。据苹果公司称，这是一个越界写入漏洞，该问题可以通过改进边界的检查方案来进行解决。苹果公司使用一贯的模糊的公告对外宣称，该漏洞可能已被黑客积极利用了。据苹果公司称，该漏洞允许浏览器处理恶意制作的网页内容，这可能会导致代码执行漏洞，而且据报道，该漏洞也在被积极利用中。

苹果公司8月30日正式宣布开始接受2024 年iPhone安全研究设备计划的申请，iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。

在新冠疫情蔓延期间，根据Atlas VPN公司发布的调查报告，苹果公司的产品漏洞在2021年下半年增加了467%，达到380个漏洞。苹果公司出现的零日漏洞数量有所增加，但仍远低于微软公司。调查发现，Mac设备部署实际上可能会提高安全性。

广泛使用的 Java 日志库 Log4j 漏洞爆出了非常容易利用的 0day 漏洞，通过发送特定字符串攻击者能远程执行代码，有数以百万计的应用受到影响。漏洞利用的 POC 代码已发布在 GitHub 上，它被编号为 CVE-2021-44228。受影响的服务包括 Steam、Apple iCloud、游戏如 Minecraft，任何使用 Apache Struts 的服务都可能受到影响。在漏洞爆出

一个名为BlackGuard的新的信息窃取恶意软件正在赢得网络犯罪社区的关注。