苹果修复用于植入Pegasus间谍软件的零日漏洞

苹果修复用于植入Pegasus间谍软件的零日漏洞公民实验室(CitizenLab)是一个调查政府恶意软件的互联网监督组织,该组织发表了一篇简短的博客文章,解释说上周他们发现了一个零点击漏洞--即黑客的目标无需点击或点击任何东西,如附件--就可以用恶意软件攻击受害者。研究人员说,该漏洞被用作漏洞利用链的一部分,旨在传播NSOGroup的恶意软件,即PegASUS。CitizenLab写道:"该漏洞利用链能够入侵运行最新版iOS(16.6)的iPhone,而无需受害者进行任何交互。"发现漏洞后,研究人员向苹果公司报告了这一漏洞,苹果公司于本周四发布了补丁,并感谢CitizenLab报告了这一漏洞。根据CitizenLab在博文中所写的内容,以及苹果公司也修补了另一个漏洞并将其发现归功于公司本身的事实,苹果公司似乎可能是在调查第一个漏洞时发现了第二个漏洞。苹果发言人斯科特-拉德克利夫(ScottRadcliffe)在接受采访时没有发表评论,而是让TechCrunch参阅了安全更新中的说明。CitizenLab称,它将该漏洞链称为BLASTPASS,因为它涉及PassKit,这是一个允许开发者在其应用程序中包含ApplePay的框架。互联网监督机构公民实验室(CitizenLab)的高级研究员约翰-斯科特-雷尔顿(JohnScott-Railton)在Twitter上写道:"公民社会再一次充当了全球数十亿台设备的网络安全预警系统。"公民实验室建议所有iPhone用户更新他们的手机。NSO没有立即回应置评请求。...PC版:https://www.cnbeta.com.tw/articles/soft/1382379.htm手机版:https://m.cnbeta.com.tw/view/1382379.htm

相关推荐

封面图片

微软发现苹果 macOS 漏洞,可植入恶意软件

微软发现苹果macOS漏洞,可植入恶意软件微软于今年7月发现了一个macOS漏洞,可以绕过Gatekeeper安全机制执行恶意软件。微软将发现的这个macOS漏洞称之为“Achilles”,并通过“CoordinatedVulnerabilityDisclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的Gatekeeper安全机制,在Mac设备上植入任意恶意软件。苹果公司在收到微软的报告之后,在本月13日发布的macOS13(Ventura)、macOS12.6.2(Monterey)和macOS1.7.2(BigSur)更新中修复了这个漏洞。
封面图片

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞苹果公司周四发布了安全更新,以解决被攻击者利用来入侵iPhone、iPad和Mac的两个零日漏洞。零日安全漏洞是软件供应商不知道的缺陷,还没有打补丁。在某些情况下,它们也有公开可用的概念验证漏洞,或者可能已被积极利用。在今天发布的安全公告中,苹果公司表示,他们知道有报告称这些问题"可能已经被积极利用了"。这两个缺陷是英特尔图形驱动程序中的越界写入问题(CVE-2022-22674),允许应用程序读取内核内存,以及AppleAVD媒体解码器中的越界读取问题(CVE-2022-22675),将使应用程序以内核权限执行任意代码。这些漏洞由匿名研究人员报告,并由苹果公司在iOS15.4.1、iPadOS15.4.1和macOSMonterey12.3.1中修复,分别改进了输入验证和边界检查。——BleepingComputer
封面图片

Apple 发布更新修复被以色利NSO间谍软件公司利用的安全漏洞

Apple发布更新修复被以色利NSO间谍软件公司利用的安全漏洞周一,在安全研究人员发现一个漏洞后,苹果公司针对其产品中的一个关键漏洞发布了紧急软件更新,该漏洞允许以色列国家统计局集团的高度侵入性间谍软件感染任何人的iPhone、iPad、AppleWatch或Mac电脑,而无需点击。在多伦多大学网络安全监管机构CitizenLab的研究人员发现一名沙特激进分子的iPhone感染了NSO的高级间谍软件之后,Apple的安全团队自周二以来一直在夜以继日地开发修复程序。https://www.nytimes.com/2021/09/13/technology/apple-software-update-spyware-nso-group.html
封面图片

Apple 发布紧急安全更新,以修复三个新的零日漏洞

Apple发布紧急安全更新,以修复三个新的零日漏洞WebKit浏览器引擎(CVE-2023-41993)和安全框架(CVE-2023-41991)中发现了两个错误,使攻击者能够使用恶意应用程序绕过签名验证或通过恶意制作的网页获取任意代码执行权限。第三个是在内核框架中找到的,它提供API以及对内核扩展和内核驻留设备驱动程序的支持。本地攻击者可以利用此缺陷(CVE-2023-41992)来升级权限。Apple通过解决证书验证问题和改进检查,修复了macOS12.7/13.6、iOS16.7/17.0.1、iPadOS16.7/17.0.1和watchOS9.6.3/10.0.1中的三个零日错误。该公司在描述安全漏洞的安全公告中透露,“苹果公司了解到一份报告称,iOS16.7之前的iOS版本可能已积极利用此问题。”这三个零日漏洞均由多伦多大学芒克学院公民实验室的BillMarczak和Google威胁分析小组的MaddieStone发现并报告。虽然苹果尚未提供有关漏洞利用的更多详细信息,但公民实验室和谷歌威胁分析小组的安全研究人员经常披露零日漏洞,这些漏洞被滥用在针对高风险个人的有针对性的间谍软件攻击中,其中包括记者、反对派政客、和持不同政见者。——
封面图片

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新,修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的浏览器引擎)和内核(基本上是操作系统的核心)发现的。这两个漏洞同时影响了iOS和iPadOS以及macOSMonterey。苹果公司说,如果有漏洞的设备访问或处理"恶意制作的网页内容可能导致任意代码执行",WebKit的漏洞就会被利用,而第二个漏洞允许恶意应用程序"以内核权限执行任意代码",这意味着对设备的完全访问。这两个缺陷被认为是相关的。...苹果公司表示,iPhone6s及以后的机型、iPadAir2及以后的机型、iPad第五代及以后的机型、iPadmini4及以后的机型和iPodtouch(第七代),以及所有iPadPro机型都受到影响。——
封面图片

苹果修复了今年第八个用于入侵iPhone和Mac的0day漏洞

苹果修复了今年第八个用于入侵iPhone和Mac的0day漏洞苹果公司已经发布了安全更新,以解决自今年年初以来在针对iPhone和Mac的攻击中使用的第八个0day漏洞。在周一发布的安全公告中,苹果公司透露他们知道有报告说这个安全漏洞"可能已经被积极利用"。该漏洞(被追踪为CVE-2022-32917)可能允许恶意制作的应用程序以内核权限执行任意代码。PC版:https://www.cnbeta.com/articles/soft/1315635.htm手机版:https://m.cnbeta.com/view/1315635.htm

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人