苹果发布了 iOS、iPadOS、macOS、visionOS 和 Safari 浏览器的安全更新,以解决两个被主动利用的零日漏洞。
苹果针对 iOS、iPadOS、macOS、visionOS 和 Safari 浏览器中的两个零日漏洞发布了安全更新,这两个漏洞被追踪为 CVE-2024-44309 和 CVE-2024-44308,它们在野外被积极利用。
CVE-2024-44309 漏洞是 WebKit 中的一个 cookie 管理问题,在处理恶意网页内容时可能导致跨站脚本 (XSS) 攻击。
“处理恶意制作的网页内容可能会导致跨站脚本攻击。”苹果公司注意到有报告称,“这一问题可能已在基于英特尔的 Mac 系统上被积极利用。”
苹果通过改进状态管理解决了 cookie 管理问题。
CVE-2024-44308 漏洞影响 JavaScriptCore,在处理恶意网页内容时可能导致任意代码执行。
“处理恶意制作的网页内容可能导致任意代码执行。”苹果公司注意到有报告称,“这一问题可能已在基于英特尔的 Mac 系统上被积极利用。”
该公司通过改进检查功能修复了这一问题。
这家 IT 巨头没有披露攻击的细节,也没有将其归咎于特定的威胁行为者。
谷歌威胁分析小组的 Clément Lecigne 和 Benoît Sevens 发现了这两个漏洞。
谷歌威胁分析小组(TAG)的工作重点是通过监控和打击高级持续性威胁(APT)和网络间谍活动(通常涉及商业间谍软件)来保护用户。这表明,这两个漏洞可能是高级威胁行为者所利用的漏洞的一部分。
该公司发布了以下更新来解决这两个漏洞:
iOS 18.1.1 和 iPadOS 18.1.1 – iPhone XS 及更高版本、iPad Pro 13 英寸、iPad Pro 12.9 英寸第三代及更高版本、iPad Pro 11 英寸第一代及更高版本、iPad Air 第三代及更高版本、iPad 第七代及更高版本,以及 iPad mini 第五代及更高版本。
iOS 17.7.2 和 iPadOS 17.7.2 – iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第二代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第一代及更新机型、iPad Air 第三代及更新机型、iPad 第六代及更新机型,以及 iPad mini 第五代及更新机型。
Safari 18.1.1 – 适用于运行 macOS Ventura 和 macOS Sonoma 的系统
macOS Sequoia 15.1.1
visionOS 2.1.1
用户应及时将设备更新至最新版本。
文章原文链接:https://www.anquanke.com/post/id/302059