Apple 发布了安全更新,以解决今年首个可能针对 iPhone、Mac 和 Apple TV 攻击中所利用的零日漏洞。
修复的零日漏洞被追踪为CVE-2024-23222 [ iOS、macOS、tvOS、Safari ],是一个 WebKit 混淆漏洞,攻击者可以利用该漏洞在目标设备上获得代码执行。成功利用该漏洞后,威胁分子可以打开恶意网页后在运行易受攻击的 iOS、macOS 和 tvOS 版本的设备上执行任意恶意代码。
苹果公司尚未将这一安全漏洞的发现归因于安全研究人员,也未公布有关这些攻击的进一步细节。
Apple 通过改进 iOS 16.7.5 及更高版本、iPadOS 16.7.5 及更高版本、macOS Monterey 12.7.3 及更高版本以及 tvOS 17.3 及更高版本中的检查来解决 CVE-2024-23222。
受此 WebKit 零日漏洞影响的设备完整列表非常广泛,主要影响较旧和较新的型号,包括:
iPhone 8、iPhone 8 Plus、iPhone X、iPad 第 5 代、iPad Pro 9.7 英寸和 iPad Pro 12.9 英寸第 1 代iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini 第 5 代及更新机型、运行 macOS Monterey 及更高版本的 MacApple TV HD 和 Apple TV 4K(所有型号)。
虽然此零日漏洞可能仅用于有针对性的攻击,但依旧强烈建议用户尽快进行新的安全更新。
Apple还向较旧的 iPhone 和 iPad 型号反向移植了另外两个 WebKit 零日漏洞(CVE-2023-42916 和 CVE-2023-42917)的补丁,这些补丁在 11 月时, 针对较新的设备进行了修补。
去年,该公司总共修复了 20 个被利用的零日漏洞,包括:
11 月出现的两个零日漏洞(CVE-2023-42916 和 CVE-2023-42917)
10月份的两个零日漏洞 (CVE-2023-42824 和 CVE-2023-5217)
9 月出现的五个 零日漏洞(CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993)
7 月份的两个零日漏洞(CVE-2023-37450 和 CVE-2023-38606)
6 月份的三个零日漏洞(CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439)
5 月份新增三个零日漏洞(CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373)
4 月份的两个零日漏洞(CVE-2023-28206 和 CVE-2023-28205)
以及2 月份的另一个 WebKit 零日漏洞(CVE-2023-23529)。
