Apple 发布了安全更新,以解决两个在野外被积极利用并针对 iPad、Mac 和 iPhone 的零日漏洞。
这些漏洞被跟踪为 CVE-2023-28205 和 CVE-2023-28206。 根据苹果公司的安全通报,这些修复程序解决了谷歌威胁分析小组的 Clément Lecigne 和国际特赦组织安全实验室的 Donncha Ó Cearbhaill 发现的相同安全问题。
最新的零日漏洞影响 iPhone 8 及更高版本、所有型号的 iPad Pro、第三代 iPad Air 及更高版本、第五代 iPad 及更高版本、第五代 iPad mini 及更高版本以及 Mac 版 macOS Ventura。
Sophos 安全研究员 Paul Ducklin 表示:“这些更新解决了两个不同的漏洞。重要的是,这两个漏洞不仅被描述为导致‘任意代码执行’,而且还被描述为‘主动利用’,使它们成为零日漏洞。”在一篇博客文章中。
由于 Apple 的 IOSurfaceAccelerator 显示代码中存在越界写入缺陷(编号为 CVE-2023-28206),任何 iOS 应用程序都可以使用内核权限执行任意代码。
达克林说:“这个漏洞允许诱杀本机应用程序将自己的恶意代码直接注入操作系统内核本身。” “内核代码执行错误不可避免地比应用程序级错误严重得多,因为内核负责管理整个系统的安全,包括应用程序可以获得哪些权限以及应用程序之间如何自由共享文件和数据。”
越界写入是指在缓冲区开始之前或结束之后写入数据。 Mitre 的常见漏洞枚举网站称,“这通常会导致数据损坏、崩溃或代码执行”。
尽管苹果公司表示“了解有关此问题可能已被积极利用的报道”,但它并未将此类漏洞归因于任何特定的网络犯罪或民族国家组织。
另一个漏洞(编号为 CVE-2023-28205)存在于 iOS 和 Apple 设备上使用的开源 Web 浏览器引擎 WebKit 中。 WebKit 是Apple 的网页内容显示子系统。 未修补的“恶意制作的网络内容可能会导致任意代码执行”,它说。
WebKit 漏洞可能允许攻击者控制用户的浏览器或任何使用 WebKit 呈现和显示 HTML 内容的应用程序。 这些应用程序使用“WebKit 向您显示网页预览、向您显示帮助文本,甚至只是生成一个漂亮的屏幕”,Ducklin 说。
“苹果自己的 Safari 浏览器使用 WebKit,使其直接容易受到 WebKit bug 的影响。此外,苹果的 App Store 规则意味着 iPhone 和 iPad 上的所有浏览器都必须使用 WebKit,这使得这个 bug 在移动 Apple 设备上是一个真正的跨浏览器问题,”小鸭说。
攻击者也有可能将这两个漏洞链接在一起——例如系统漏洞修复软件,利用WebKit并利用它来转移内核漏洞。
内核级错误依赖于诱杀应用程序系统漏洞修复软件,由于其严格的应用程序商店围墙花园规则,这些应用程序本身通常对苹果设备构成威胁,这使得攻击者很难诱骗受害者安装流氓应用程序。
Ducklin 表示,“即使你愿意,用户也不会去市场并安装来自二手或非官方来源的应用程序,因此诈骗者需要先将他们的流氓应用程序偷偷带入应用程序商店,然后才能尝试说服你进入应用程序商店”。安装它。” 。 但是,当攻击者能够将远程破坏浏览器的漏洞与本地破坏内核的漏洞结合起来时,他们就可以完全避免应用商店问题。”
达克林说,这个错误就是这种情况。 第一个漏洞(编号为 CVE-2023-28205)允许攻击者远程接管手机的浏览器应用程序,此时攻击者拥有一个诱杀应用程序,可用于利用编号为 CVE-2023-28206 的漏洞进行攻击。错误接管了整个设备。
“请记住,由于所有具有 Web 显示功能的 App Store 应用程序都需要使用 WebKit,因此即使您安装了第三方浏览器而不是 Safari,CVE-2023-28205 错误也可能会影响您,”Ducklin 补充道。
