| 漏洞概述 | |||
| 漏洞名稱 | Apple 多款產品輸入驗證錯誤漏洞 | ||
| 漏洞編號 | QVD-2024-47972、CVE-2024-44308 | ||
| 公開時間 | 2024-11-19 | 影響量級 | 千萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分數 | 8.8 |
| 威脅類型 | 代碼執行 | 利用可能性 | 高 |
| POC狀態 | 未公開 | 在野利用狀態 | 已發現 |
| EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
| 危害描述:成功利用可能造成代碼執行、信息泄露等危害。 | |||
| 漏洞概述 | |||
| 漏洞名稱 | Apple 多款產品跨站腳本漏洞 | ||
| 漏洞編號 | QVD-2024-47973、CVE-2024-44309 | ||
| 公開時間 | 2024-11-19 | 影響量級 | 千萬級 |
| 奇安信評級 | 中危 | CVSS 3.1分數 | 6.1 |
| 威脅類型 | 代碼執行 | 利用可能性 | 高 |
| POC狀態 | 未公開 | 在野利用狀態 | 已發現 |
| EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
| 危害描述:成功利用可在用戶瀏覽器中執行任意 HTML 和腳本代碼。 | |||
01?漏洞詳情
影響組件
iOS是由蘋果公司開發的移動操作系統。iPadOS是蘋果公司基于iOS研發的移動端操作系統系列。macOS 是蘋果公司桌面和筆記本電腦的操作系統。Vision OS是蘋果推出的一種空間計算操作系統。
漏洞描述
近日,奇安信CERT監測到Apple發布新版本修復了存在在野利用的Apple 多款產品輸入驗證錯誤漏洞(CVE-2024-44308),遠程攻擊者可以誘騙受害者訪問特制的網頁并在系統上執行任意代碼。Apple 多款產品跨站腳本漏洞(CVE-2024-44309),誘騙受害者點擊特制的鏈接,在用戶瀏覽器中在任意網站的上下文中執行任意 HTML 和腳本代碼。鑒于這些漏洞已發現在野利用,建議客戶盡快做好自查及防護。
02?影響范圍
影響版本
iOS < 17.7.2
iOS < 18.1.1
iPadOS < 17.7.2
iPadOS < 18.1.1
macOS Sequoia < 15.1.1
visionOS < 2.1.1
其他受影響組件
無
03?處置建議
安全更新
目前官方已有可更新版本,建議受影響用戶升級至最新版本:
iOS >=17.7.2
iOS >= 18.1.1
iPadOS >=17.7.2
iPadOS >= 18.1.1
macOS Sequoia >= 15.1.1
visionOS >= 2.1.1
請參閱發布說明:
https://support.apple.com/en-us/100100
04?參考資料
[1]https://support.apple.com/en-us/100100