大工网安告[2023]013
一、情况分析
苹果公司近期发布了安全更新,以解决旧款 iPhone 和 iPad 的零日漏洞。漏洞被追踪为 CVE-2023-23529,是一个 WebKit 类型的混淆问题。苹果公司于2023年2月13日已经在较新的 iPhone 和 iPad 设备上修复了该漏洞。苹果公司曾在一份报告中声称,CVE-2023-23529 漏洞可能被积极利用了。该公司最后通过改进检查来解决 iOS 15.7.4 和 iPadOS15.7.4 中的零日问题。
CVE-2023-23529 漏洞危害极大,一旦攻击者成功利用,可能会引起操作系统崩溃,威胁攻击者甚至可以在诱骗受害者打开恶意网页后,在目标 iPhone 和 iPad 上执行任意代码(该漏洞也会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1)。
二、影响范围
iPhone 6s(所有型号)、iPhone 7(所有机型)、iPhone SE(第一代)、iPad Air 2、iPad mini(第四代)和 iPod touch(第七代)设备。
三、处置建议
建议用户尽快更新。
苹果公司表示其内部知道漏洞可能在攻击中被利用了,但尚未公布有关这些事件的详细信息。 虽然CVE-2023-23529漏洞可能只用于有针对性的攻击,但强烈建议用户尽快安装安全更新,以阻止针对运行旧软件的iPhone和iPad设备用户的潜在攻击企图。
