蘋果曝出兩個 iOS 系統 0-Day 漏洞

發布日期:2024-03-08首頁 > 安全資(zī)訊

       最近,蘋果公司發布了緊急安全更新,解決了兩個 iOS 零日漏洞。這些漏洞存在于 iOS 内核(CVE-2024-23225)和 RTKit(CVE-2024-23296)中(zhōng),威脅攻擊者可利用其繞過内核内存保護,這就給了具備任意内核讀寫權限的威脅攻擊者可乘之機。

 

蘋果公司表示,他們的内部安全團隊通過改進輸入驗證,已經解決了在運行 iOS 17.4、iPadOS 17.4、iOS 16.76和iPad 16.7.6 的設備上存在的安全漏洞問題。

漏洞影響範圍廣泛,波及多個版本的 iPhone 手機

據悉,CVE-2024-23225 安全漏洞和 CVE-2024-23296 安全漏洞影響範圍十分(fēn)廣泛,主要波及到 iPhone XS 及更高版本、iPhone 8、iPhone 8 Plus、iPhone X、iPad 第五代、iPad Pro 9.7 英寸和 iPad Pro 12.9 英寸第一(yī)代、iPad Pro 12.9 英寸第二代及更高版本、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一(yī)代及更高版本、iPad Air 第三代及更高版本、iPad 第六代及更高版本,以及 iPad mini 第五代及更高版本等數十款産品。

目前,蘋果公司并未透露 CVE-2024-23225 和 CVE-2024-23296 兩個零日漏洞的信息來源,也未說明漏洞是内部發現還是外(wài)部披露的。

此外(wài),盡管蘋果公司沒有公布關于這兩個零日漏洞被惡意利用的具體(tǐ)信息,但從以往的經驗來看,iOS 的零日漏洞通常會被國家支持的間諜軟件用于針對記者、反對派政治人士和持不同政見者等高風險群體(tǐ),因此強烈建議用戶立即安裝最新的安全更新,以防止潛在的網絡攻擊企圖。

疊加上上文兩個安全漏洞,蘋果公司在 2024 年已經修複了三個零日安全漏洞(第一(yī)個是在一(yī)月份修複)。去(qù)年,蘋果公司共修複了 20 個被惡意威脅攻擊者利用的零日安全漏洞,其中(zhōng)主要包括以下(xià)安全漏洞:

2 月份:一(yī)個 WebKit 零日漏洞(CVE-2023-23529);

4 月份:兩個零日漏洞(CVE-2023-28206 和 CVE-2023-28205);

5 月份:三個零點漏洞(CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373);

6 月份:三個零點漏洞(CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439;

7 月份::兩個零點漏洞(CVE-2023-37450 和 CVE-2023-38606);

9 月份:五個零點漏洞(CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992 和 CVE-2023-41993);

10 月份:兩個零日漏洞(CVE-2023-42824 和 CVE-2023-5217);

11 月份:兩個零日漏洞(CVE-2023-42916 和 CVE-2023-42917)。

 

轉載自www.freebuf.com