据iosid.me消息:在今天发布带有“重要错误修复和安全更新”的iPhone和Mac新软件后不久,Apple 详细说明了已修补的安全漏洞的细节。值得注意的是,Apple 分享了它看到的关于它们在野外被利用的报道。
Apple 在其安全更新页面上分享了针对 iOS 和 macOS 修复的两个缺陷(相同的缺陷)。
第一个是 IOSurfaceAccelerator 缺陷,它允许应用程序“以内核权限执行任意代码”。第二个是 WebKit 漏洞,可以看到恶意代码的处理也导致任意代码执行。
对于这两个漏洞,Apple 表示“已获悉有关此问题可能已被积极利用的报告”,因此为了安全起见,请尽快安装这些更新。
以下是完整的细节:
IOSurface加速器
适用于:iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型
影响:应用程序或许能够使用内核权限执行任意代码。Apple 获悉一份报告称此问题可能已被积极利用。
描述:越界写入问题已通过改进输入验证得到解决。
CVE-2023-28206:Google 威胁分析小组的 Clément Lecigne 和国际特赦组织安全实验室的 Donncha Ó Cearbhaill
网络套件
适用于:iPhone 8 及更新机型、iPad Pro(所有机型)、iPad Air 第三代及更新机型、iPad 第五代及更新机型、iPad mini 第五代及更新机型
影响:处理恶意制作的网页内容可能会导致任意代码执行。Apple 获悉一份报告称此问题可能已被积极利用。
描述:已通过改进内存管理解决释放后使用问题。
WebKit Bugzilla:254797
CVE-2023-28205:谷歌威胁分析小组的 Clément Lecigne 和大赦国际安全实验室的 Donncha Ó Cearbhaill
