安全研究员披露三个 iOS 0day 漏洞

iOS 0day漏洞影响老版本iPhone和iPad，苹果已发布安全补丁。漏洞产生的原因是苹果WebKit web浏览器浏览引擎的类型混淆引发的。实现远程代码执行后，攻击者可以在底层操作系统执行命令，部署恶意软件或监控恶意软件，并执行其他恶意活动。1月23日，苹果再次发布公告称发现该漏洞被利用的迹象。苹果公司建议受影响的用户尽快安装1月23日苹果发布的安全更新以拦截可能的攻击。

一、发展动向热讯

一、发展动向热讯

2021年10月12日凌晨1点，距离上个版本发布仅10天，苹果就向全球用户推送了 iOS15.0.2系统，同时发布的还有 iPadOS15.0.2。本次更新除了修复信息与照片、应用等一系列问题外，紧急修复了一个正在被黑客广泛利用的0day漏洞，漏洞编号CVE-2021-30883。

根据研究人员的说法，产生漏洞的原因在于这些页面没有对存储XSS进行防护。因此，攻击者可以利用丢失模式的电话号码字段向AirTag注入恶意的有效载荷。研究人员在一篇文章中称，受害者会认为他们被要求登录iCloud，以便与AirTag的所有者进行联系，而事实上，攻击者已将他们重定向到了一个凭证劫持页面。他还指出，AirTags可以被武器化，进行各种攻击。

接收到漏洞反馈后，苹果公司通过改进边界检查、输入验证和内存管理，解决了漏洞问题。据悉，macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 等都会受到漏洞影响。苹果表示公司内部已经知道了三个零日漏洞正在野外被积极利用，5 月 1 日发布的 iOS 16.4.1 和 macOS 13.3.1设备的快速安全响应补丁解决 CVE-2023-28204 和 CVE-2023-32373 这两个漏洞问题。Cearbhaill 发现并报告了CVE-2023-32409。2023年苹果修复多个零日进入 2023 年以来，苹果多次爆出安全漏洞。

接收到漏洞反馈后，苹果公司通过改进边界检查、输入验证和内存管理，解决了漏洞问题。据悉，macOS Ventura 13.4、iOS 和 iPadOS 16.5、tvOS 16.5、watchOS 9.5 和 Safari 16.5 等都会受到漏洞影响。

Apple 发布了安全更新，以解决两个在野外被积极利用并针对 iPad、Mac 和 iPhone 的零日漏洞。这些漏洞被跟踪为CVE-2023-28205和CVE-2023-28206。Cearbhaill 发现的相同安全问题。虽然苹果公司表示它“知道有关此问题可能已被积极利用的报告”，但它并未将此类漏洞利用归因于任何特定的网络犯罪或民族国家组织。

苹果公司敦促macOS、iPhone和iPad用户在本周尽快安装设备的更新文件，这其中包括对两个处于主动攻击下的0 day漏洞的修复。据苹果公司称，这是一个越界写入漏洞，该问题可以通过改进边界的检查方案来进行解决。苹果公司使用一贯的模糊的公告对外宣称，该漏洞可能已被黑客积极利用了。据苹果公司称，该漏洞允许浏览器处理恶意制作的网页内容，这可能会导致代码执行漏洞，而且据报道，该漏洞也在被积极利用中。