Apple 发布紧急安全更新,以修复三个新的零日漏洞

Apple发布紧急安全更新,以修复三个新的零日漏洞WebKit浏览器引擎(CVE-2023-41993)和安全框架(CVE-2023-41991)中发现了两个错误,使攻击者能够使用恶意应用程序绕过签名验证或通过恶意制作的网页获取任意代码执行权限。第三个是在内核框架中找到的,它提供API以及对内核扩展和内核驻留设备驱动程序的支持。本地攻击者可以利用此缺陷(CVE-2023-41992)来升级权限。Apple通过解决证书验证问题和改进检查,修复了macOS12.7/13.6、iOS16.7/17.0.1、iPadOS16.7/17.0.1和watchOS9.6.3/10.0.1中的三个零日错误。该公司在描述安全漏洞的安全公告中透露,“苹果公司了解到一份报告称,iOS16.7之前的iOS版本可能已积极利用此问题。”这三个零日漏洞均由多伦多大学芒克学院公民实验室的BillMarczak和Google威胁分析小组的MaddieStone发现并报告。虽然苹果尚未提供有关漏洞利用的更多详细信息,但公民实验室和谷歌威胁分析小组的安全研究人员经常披露零日漏洞,这些漏洞被滥用在针对高风险个人的有针对性的间谍软件攻击中,其中包括记者、反对派政客、和持不同政见者。——

相关推荐

封面图片

【Apple发布解决3个新零日漏洞的安全补丁,并提醒用户及时升级】

【Apple发布解决3个新零日漏洞的安全补丁,并提醒用户及时升级】2023年09月22日04点24分9月22日消息,Apple发布了新一轮安全补丁,以解决三个正在被积极利用的零日漏洞,这些漏洞影响了iOS、iPadOS、macOS、watchOS和Safari,使今年在其软件中发现的零日漏洞总数达到16个。安全漏洞列表如下:CVE-2023-41991,Security框架中的一个证书验证问题,可能允许恶意应用程序绕过签名验证。CVE-2023-41992,Kernel中的一个安全漏洞,可能允许本地攻击者提升权限。CVE-2023-41993,WebKit中的一个漏洞,在处理特制Web内容时可能导致任意代码执行。苹果没有提供更多细节,只是确认了“该问题可能在iOS16.7之前的版本中被积极利用。提醒用户及时升级”。
封面图片

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞苹果公司周四发布了安全更新,以解决被攻击者利用来入侵iPhone、iPad和Mac的两个零日漏洞。零日安全漏洞是软件供应商不知道的缺陷,还没有打补丁。在某些情况下,它们也有公开可用的概念验证漏洞,或者可能已被积极利用。在今天发布的安全公告中,苹果公司表示,他们知道有报告称这些问题"可能已经被积极利用了"。这两个缺陷是英特尔图形驱动程序中的越界写入问题(CVE-2022-22674),允许应用程序读取内核内存,以及AppleAVD媒体解码器中的越界读取问题(CVE-2022-22675),将使应用程序以内核权限执行任意代码。这些漏洞由匿名研究人员报告,并由苹果公司在iOS15.4.1、iPadOS15.4.1和macOSMonterey12.3.1中修复,分别改进了输入验证和边界检查。——BleepingComputer
封面图片

【苹果发布iOS和iPadOS的重要安全更新,旨在解决两个关键性零日漏洞】

【苹果发布iOS和iPadOS的重要安全更新,旨在解决两个关键性零日漏洞】苹果公司发布了iOS16.4.1和iPadOS16.4.1的重要安全更新,旨在解决两个已经在野外被利用的关键性零日漏洞(CVE-2023-28205和CVE-2023-28206)。这些漏洞影响IOSurfaceAccelerator和WebKit,可以在iPhone和iPad上进行任意代码执行,并且复杂的攻击链针对最新的iPhone设备。苹果公司承认了这些漏洞的主动利用,IOSurfaceAccelerator漏洞已通过改进输入验证得到修复,而WebKit漏洞已通过改进内存管理得到解决。用户需尽快将设备更新到iOS16.4.1和iPadOS16.4.1,以保护设备的安全。
封面图片

【苹果发布iOS和iPad OS的重要安全更新,旨在解决两个关键性零日漏洞】

【苹果发布iOS和iPadOS的重要安全更新,旨在解决两个关键性零日漏洞】2023年04月10日01点41分4月10日消息,苹果公司发布了iOS16.4.1和iPadOS16.4.1的重要安全更新,旨在解决两个已经在野外被利用的关键性零日漏洞(CVE-2023-28205和CVE-2023-28206)。这些漏洞影响IOSurfaceAccelerator和WebKit,可以在iPhone和iPad上进行任意代码执行,并且复杂的攻击链针对最新的iPhone设备。苹果公司承认了这些漏洞的主动利用,IOSurfaceAccelerator漏洞已通过改进输入验证得到修复,而WebKit漏洞已通过改进内存管理得到解决。用户需尽快将设备更新到iOS16.4.1和iPadOS16.4.1,以保护设备的安全。
封面图片

谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞

谷歌紧急发布Chrome更新,修复Pwn2Own大赛中报告的两个零日漏洞https://www.ithome.com/0/758/596.htm其中一个零日漏洞追踪编号为CVE-2024-2887,主要存在于WebAssembly(Wasm)开放标准中,是一个高严重性类型混乱漏洞。安全专家ManfredPaul利用该漏洞制作了一个HTML页面,一旦用户感染,可以实现远程执行代码攻击。第二个零日漏洞追踪编号为CVE-2024-2886,在CanSecWestPwn2Own竞赛的第二天被KAIST黑客实验室的SeunghyunLee公布。该漏洞属于use-after-free类型,主要存在于WebCodecsAPI中,而很多网页应用会调用该API编码、解码音频和视频内容,远程攻击者可利用该漏洞通过精心制作的HTML页面执行任意读/写操作。
封面图片

谷歌浏览器发布紧急更新修复一个已被利用的零日漏洞

谷歌浏览器发布紧急更新修复一个已被利用的零日漏洞谷歌已经为Windows、Mac和Linux用户发布了Chrome99.0.4844.84,以解决一个被实际利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:谷歌知道CVE-2022-1096的一个漏洞被利用。99.0.4844.84版本已经在稳定的桌面频道中向全球推出,谷歌表示,直到它到达整个用户群可能需要一个星期的时间。今天修复的零日漏洞(被追踪为CVE-2022-1096)是ChromeV8JavaScript引擎的一个高严重性的类型混淆弱点,由一名匿名安全研究员报告。虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃,通过读取或写入超出缓冲区的内存,攻击者也可以利用它们来执行任意代码。即使谷歌说它检测到这一零日漏洞的攻击,该公司也没有分享有关这些事件的技术细节或其他信息。——Bleepingcomputer

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人