«

苹果发布紧急更新,修复被积极利用的零日漏洞

时间:2024-11-20 17:33     作者:之参博客     分类: 网络相关


Apple 发布了针对 iOS、iPadOS、macOS、visionOS 及其 Safari 网络浏览器的安全更新,以解决两个已被广泛利用的零日漏洞。

这些缺陷如下:

CVE-2024-44308 - JavaScriptCore 中的漏洞,在处理恶意 Web 内容时可能导致任意代码执行
CVE-2024-44309 - WebKit 中的 cookie 管理漏洞,在处理恶意 Web 内容时可能导致跨站点脚本 (XSS) 攻击

这家 iPhone 制造商表示,它分别通过改进检查和改进状态管理解决了 CVE-2024-44308 和 CVE-2024-44309 问题。

目前关于漏洞利用的具体性质尚不清楚,但苹果承认,这两个漏洞“可能在基于 Intel 的 Mac 系统上被积极利用”。

谷歌威胁分析小组 (TAG) 的 Clément Lecigne 和 Benoît Sevens 因发现和报告这两个漏洞而受到赞誉,这表明这两个漏洞很可能被用于高度针对性的政府支持或雇佣兵间谍软件攻击。

更新适用于以下设备和操作系统 -

iOS 18.1.1 和 iPadOS 18.1.1 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 7 代及更新机型、iPad mini 第 5 代及更新机型
iOS 17.7.2 和 iPadOS 17.7.2 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型、iPad mini 第 5 代及更新机型
macOS Sequoia 15.1.1 - 运行 macOS Sequoia 的 Mac
visionOS 2.1.1 -Apple Vision Pro
Safari 18.1.1 - 运行 macOS Ventura 和 macOS Sonoma 的 Mac

到目前为止,苹果今年已修复了其软件中的四个零日漏洞,其中一个 ( CVE-2024-27834 ) 在 Pwn2Own 温哥华黑客大赛上进行了展示。另外三个漏洞分别于2024 年1 月和3 月进行了修补。

建议用户尽快将其设备更新到最新版本,以防范潜在威胁。

标签: 漏洞 苹果