苹果紧急修复两大零日漏洞，影响iPhone、iPad 和 Mac 设备

近日，苹果苹果公司发布紧急安全更新 ，紧急此次更新修复了两个在攻击中被利用并影响 iPhone、修复iPad 和 Mac 设备的两大零日漏洞零日漏洞。据统计，影响自今年年初以来已修复的设备零日漏洞数量已达到 20 个
。

本周三（11月29日） ，苹果苹果公司发布了一份公告，紧急其中提到此次发现的修复零日漏洞很可能已被iOS 16.7.1之前的服务器租用iOS版本所利用。

CVE-2023-42916 和 CVE-2023-42917这两个漏洞是两大零日漏洞在 WebKit 浏览器引擎中发现的，这两个漏洞允许攻击者通过越界读取弱点访问敏感信息，影响并通过恶意制作的设备网页在易受攻击的设备上通过内存损坏漏洞执行任意代码 。

该公司称，苹果通过改进输入验证和锁定，紧急解决了运行 iOS 17.1.2、建站模板修复iPadOS 17.1.2 、macOS Sonoma 14.1.2 和 Safari 17.1.2 的设备的安全漏洞问题。

受影响的苹果设备范围相当广泛，包括：

iPhone XS 及更高版本iPad Pro 12.9 英寸第二代及更高版本 、iPad Pro 10.5 英寸 、iPad Pro 11 英寸第一代及更高版本 、iPad Air 第三代及更高版本 、iPad 第六代及更高版本 ，源码下载以及 iPad mini 第五代及更高版本运行macOS Monterey 、Ventura 和 Sonoma 的 Mac 电脑

谷歌威胁分析小组（TAG）的安全研究员 Clément Lecigne 发现并报告了这两个零日漏洞。

虽然苹果公司没有公布有关野外持续利用的信息
，但谷歌 TAG 研究人员会披露其发现的零日漏洞 ，这些漏洞可能会被间谍软件利用 ，针对记者、反对派政治家和持不同政见者等进行网络攻击。源码库

2023 年苹果修复的 20 个零日漏洞

CVE-2023-42916 和 CVE-2023-42917 分别是苹果今年修复的第 19 个和第 20 个被攻击利用的零日漏洞。

谷歌 TAG 披露了 XNU 内核中的另一个零日漏洞（CVE-2023-42824），攻击者可利用该漏洞在易受攻击的 iPhone 和 iPad 上提升权限 。

苹果最近还修补了 Citizen Lab 和 Google TAG 研究人员报告的三个零日漏洞（CVE-2023-41991 、免费模板CVE-2023-41992 和 CVE-2023-41993） ，威胁者利用这些漏洞部署了 Predator 间谍软件。

此外，Citizen Lab 还披露了另外两个零点漏洞（CVE-2023-41061 和 CVE-2023-41064） ，该漏洞被部分BLASTPASS所利用，以安装 NSO Group 的 Pegasus 间谍软件 。不过苹果公司在今年 9 月份已经修复了这两个漏洞。

自今年年初以来，苹果公司已修复的漏洞如下 ：

7月修复两个零日漏洞（CVE-2023-37450 和 CVE-2023-38606）；6月修复三个零日漏洞（CVE-2023-32434 、模板下载CVE-2023-32435 和 CVE-2023-32439）；5月修复出现三个零日漏洞（CVE-2023-32409 、CVE-2023-28204 和 CVE-2023-32373）；4月修复两个零日漏洞（CVE-2023-28206 和 CVE-2023-28205）；2月修复WebKit 零日漏洞（CVE-2023-23529）