漏洞的内容如下
· CVE-2023-28205- WebKit 中释放后使用的问题,在处理特制的 Web 内容时可能导致任意代码执行。
· CVE-2023-28206- IOSurfaceAccelerator 中存在一个越界写入问题,该问题可能使应用能够以内核权限执行任意代码。
苹果表示,目前已经通过改进内存管理解决了CVE-2023-28205,并通过更好的输入验证解决了第二个漏洞,虽然现在已经修复但是并不排除这些漏洞“可能已被积极利用”。
发现和报告这些漏洞的是谷歌威胁分析小组(TAG)的Clément Lecigne和大赦国际安全实验室的Donncha ó Cearbhaill。
鉴于这两个漏洞可能正在被利用,为了防止更多的攻击者滥用这些漏洞,有关这两个漏洞的细节并没有公布。
此次更新在iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1和Safari 16.4.1版本中可用。这些修复措施也覆盖了诸多设备,包括iPhone 8及更高版本、iPad Pro(所有型号)、iPad Air第三代及更高版本、iPad第五代及更高版本、iPad mini第五代及更高版本、运行macOS Big Sur、Monterey和Ventura的Mac电脑。
自今年年初以来,苹果已经修补了三个零日。此前在2月份,苹果修复了WebKit中另一个被积极利用的零日(CVE-2023-23529),该零日可导致任意代码执行。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
