今年到目前为止,Apple 已针对 iOS、iPadOS 和 macOS 平台中 13 个记录在案的零日漏洞推出了修复程序。该公司还推出了“锁定模式”来直接应对这些攻击,但利用的速度并没有放缓。
苹果周四对其旗舰 iOS 和 macOS 平台推出了紧急更新,以修复两个被广泛利用的安全缺陷。
这些漏洞已在最新的 iOS 16.6.1 和 macOS Ventura 13.5.2 版本中修复,由多伦多大学 Munk 学院的公民实验室负责,表明该漏洞被用于商业监控间谍软件产品。
多伦多大学蒙克学院的公民实验室积极跟踪 PSOA(私营部门攻击者)以及销售黑客和漏洞利用工具和服务的公司不断扩大的市场。
根据库比蒂诺安全响应团队的建议,这两个缺陷都可以通过被操纵的图像文件来利用来发起代码执行攻击。
来自公告:
- CVE-2023-41064 (ImageIO)— 处理恶意制作的图像可能会导致任意代码执行。苹果公司获悉有报告称此问题可能已被积极利用。通过改进内存处理解决了缓冲区溢出问题。
- CVE-2023-41061(钱包)— 恶意制作的附件可能会导致任意代码执行。苹果公司获悉有报告称此问题可能已被积极利用。通过改进逻辑解决了验证问题。
随着苹果公司努力跟上高技能攻击者的步伐,针对零日 iOS和 macOS 缺陷的紧急补丁已成为经常发生的事情。
今年到目前为止,Apple 已针对 iOS、iPadOS 和 macOS 平台中 13 个记录在案的零日漏洞推出了修复程序。该公司还推出了“锁定模式”来直接应对这些攻击,但利用的速度并没有放缓。
更新:公民实验室已确认这些缺陷是在与 NSO 集团的 Pegasus 雇佣间谍软件相关的利用活动中捕获的。
“上周,在检查位于华盛顿特区的一个设有国际办事处的民间社会组织雇用的个人的设备时,公民实验室发现了一个被积极利用的零点击漏洞,该漏洞被用来传播 NSO 集团的 Pegasus 雇佣间谍软件,”公民集团表示。
该研究单位将漏洞利用链标记为 BLASTPASS,并表示它能够在没有受害者任何交互的情况下攻击运行最新版本 iOS (16.6) 的 iPhone 。
Citizen Lab 警告称,该漏洞涉及PassKit附件,其中包含从攻击者 iMessage 帐户发送给受害者的恶意图像。
©本文为清一色官方代发,观点仅代表作者本人,与清一色无关。清一色对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。本文不作为投资理财建议,请读者仅作参考,并请自行承担全部责任。文中部分文字/图片/视频/音频等来源于网络,如侵犯到著作权人的权利,请与我们联系(微信/QQ:1074760229)。转载请注明出处:清一色财经
微信扫码打赏 
支付宝扫码打赏 
