Apple多產(chǎn)品多個高危漏洞安全風險通告
責編:gltian |2023-09-22 18:21:18| 漏洞概述 | |||
| 漏洞名稱 | Apple 多產(chǎn)品多個高危漏洞 | ||
| 漏洞編號 | CVE-2023-41991、CVE-2023-41992、CVE-2023-41993 | ||
| 公開時間 | 2023-09-21 | 影響對象數(shù)量級 | 千萬級 |
| 奇安信評級 | 高危 | 利用可能性 | 高 |
| POC狀態(tài) | 未公開 | 在野利用狀態(tài) | 已發(fā)現(xiàn) |
| EXP狀態(tài) | 未公開 | 技術細節(jié)狀態(tài) | 未公開 |
| 利用條件:需要低權(quán)限。 | |||
01?漏洞詳情
影響組件
iOS 、iPadOS系統(tǒng)是美國蘋果(Apple)公司所研發(fā)的移動操作系統(tǒng)。為Apple公司多款產(chǎn)品提供相關功能。
影響版本漏洞描述
近日,奇安信CERT監(jiān)測到Apple修復多個高危在野利用漏洞,包括CVE-2023-41991 Apple 多產(chǎn)品安全特性繞過漏洞、 CVE-2023-41992 Apple 多產(chǎn)品權(quán)限提升漏洞、 CVE-2023-41993 Apple 多產(chǎn)品代碼執(zhí)行漏洞。目前這三個漏洞已發(fā)現(xiàn)在野利用事件,鑒于這些漏洞影響范圍極大,建議客戶盡快做好自查及防護。
| 漏洞名稱 | 漏洞描述 |
| Apple iOS 安全特性繞過漏洞(CVE-2023-41991) | 在Apple iOS中,由于簽名驗證不恰當,App可以繞過簽名驗證。 |
| Apple iOS 權(quán)限提升漏洞(CVE-2023-41992) | 在Apple iOS中存在權(quán)限提升漏洞,本地攻擊者可以利用內(nèi)核框架的缺陷提升權(quán)限。 |
| Apple iOS 代碼執(zhí)行漏洞(CVE-2023-41993) | 在Apple iOS中存在內(nèi)存損壞漏洞,攻擊者可以誘使受害者訪問惡意web內(nèi)容利用該漏洞,成功利用則會在受害者系統(tǒng)上執(zhí)行任意代碼。 |
02?影響范圍
影響版本
Apple iOS 安全特性繞過漏洞(CVE-2023-41991):
Apple iOS < 16.7
iPadOS < 16.7
17.0.0 <= iOS < 17.0.1
17.0.0 <= iPadOS < 17.0.1
watchOS < 9.6.3
macOS Ventura < 13.6
10.0.0 <= watchOS < 10.0.1
Apple iOS 權(quán)限提升漏洞(CVE-2023-41992):
Apple iOS < 16.7
iPadOS < 16.7
17.0.0 <= iOS < 17.0.1
17.0.0 <= iPadOS < 17.0.1
watchOS < 9.6.3
macOS Ventura < 13.6
macOS Monterey < 12.7
10.0.0 <= watchOS < 10.0.1
Apple iOS 代碼執(zhí)行漏洞(CVE-2023-41993):
Safari < 16.6.1
Apple iOS < 16.7
iPadOS < 16.7
17.0.0 <= iOS < 17.0.1
17.0.0 <= iPadOS < 17.0.1
macOS Ventura < 13.6
不影響版本
Apple iOS 安全特性繞過漏洞(CVE-2023-41991):
Apple iOS >= 16.7
iPadOS >= 16.7
Apple iOS >= 17.0.1
iPadOS >= 17.0.1
watchOS >= 9.6.3
macOS Ventura >= 13.6
watchOS >= 10.0.1
Apple iOS 權(quán)限提升漏洞(CVE-2023-41992):
Apple iOS >= 16.7
iPadOS >= 16.7
Apple iOS >= 17.0.1
iPadOS >= 17.0.1
watchOS >= 9.6.3
macOS Ventura >= 13.6
macOS Monterey >= 12.7
watchOS >= 10.0.1
Apple iOS 代碼執(zhí)行漏洞(CVE-2023-41993):
Safari >= 16.6.1
Apple iOS >= 16.7
iPadOS >= 16.7
Apple iOS >= 17.0.1
iPadOS >= 17.0.1
macOS Ventura >= 13.6
其他受影響組件
無
03?處置建議
安全更新
Apple已發(fā)布安全更新,請在設置-通用-軟件更新下載最新版本系統(tǒng)。
參考https://support.apple.com/zh-cn/HT213927
緩解措施
設備開啟鎖定模式。
關于鎖定模式請參考官方介紹:https://support.apple.com/en-ca/HT212650
04?參考資料
[1]https://support.apple.com/kb/HT213927
[2]https://support.apple.com/kb/HT213929
[3]https://support.apple.com/kb/HT213928
[4]https://support.apple.com/kb/HT213926
[5]https://support.apple.com/kb/HT213931
[6]https://support.apple.com/en-us/HT213926
[7]https://support.apple.com/en-us/HT213927
[8]https://support.apple.com/en-us/HT213928
[9]https://support.apple.com/en-us/HT213929
[10]https://support.apple.com/en-us/HT213931
來源:奇安信 CERT
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧