大工网安告[2024]035
一、 情况分析
iOS是由苹果公司开发的移动操作系统。iPadOS是苹果公司基于iOS研发的移动端操作系统系列。macOS是苹果公司桌面和笔记本电脑的操作系统。Vision OS是苹果推出的一种空间计算操作系统。
近日,Apple发布新版本修复了存在在野利用的Apple多款产品输入验证错误漏洞(CVE-2024-44308),远程攻击者可以诱骗受害者访问特制的网页并在系统上执行任意代码。Apple多款产品跨站脚本漏洞(CVE-2024-44309),诱骗受害者点击特制的链接,在用户浏览器中在任意网站的上下文中执行任意HTML和脚本代码。鉴于这些漏洞已发现在野利用,建议大家尽快做好自查及防护。
漏洞名称 | Apple 多款产品输入验证错误漏洞 |
公开时间 | 2024-11-19 | 更新时间 | 2024-11-20 |
CVE编号 | CVE-2024-44308 | 其他编号 | QVD-2024-47972 |
威胁类型 | 代码执行 | 技术类型 | 数据验证不恰当 |
危害描述 | 成功利用可能造成代码执行、信息泄露等危害。 |
利用条件 | 用户交互 |
漏洞名称 | Apple 多款产品跨站脚本漏洞 |
公开时间 | 2024-11-19 | 更新时间 | 2024-11-20 |
CVE编号 | CVE-2024-44309 | 其他编号 | QVD-2024-47973 |
威胁类型 | 代码执行 | 技术类型 | 跨站脚本攻击 |
危害描述 | 成功利用可在用户浏览器中执行任意HTML 和脚本代码。 |
利用条件 | 用户交互 |
二、 影响版本
iOS 和iPadOS < 17.7.2
iOS 和iPadOS < 18.1.1
macOS Sequoia < 15.1.1
visionOS < 2.1.1
三、 处置建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
iOS 和 iPadOS >=17.7.2
iOS 和 iPadOS >= 18.1.1
macOS Sequoia >= 15.1.1
visionOS >= 2.1.1
https://support.apple.com/en-us/100100
