苹果公司对一对零日漏洞黑客一直在积极利用的漏洞,很可能是为了破解iphone。
该公司今天发布了先前未知漏洞的补丁,这也会影响macOS文图拉部分目标是WebKit,即iOS浏览器(包括Safari)使用的引擎。
像往常一样,苹果没有透露零日攻击的细节。但是补丁笔记(在新窗口中打开)谷歌威胁分析小组和国际特赦组织的研究人员发现了这些漏洞,这表明利用这些漏洞的黑客可能针对的是人权工作者。
在一个推特(在新窗口中打开),大赦国际研究员Donncha Ó Cearbhaill证实,这些漏洞是在“野外”发现的,可以连接在一起利用iOS设备。
推特(在新窗口中打开)
第一个缺陷,cve - 2023 - 28205,涉及浏览器引擎Webkit。苹果公司表示,如果浏览器引擎被输入“恶意制作的网页内容”,黑客就可以触发Webkit执行恶意计算机代码。
第二个缺陷,cve - 2023 - 28206,包括IOSurfaceAccelerator(在新窗口中打开),这是一个更晦涩的iOS组件。利用这个漏洞可以让应用程序也执行流氓计算机代码,但拥有对系统软件的全部权限。
因此,看起来黑客可以利用零日漏洞劫持iPhone。有可能袭击者是通过传播来实现的网络钓鱼信息或者是被恶意内容操纵的网站。
苹果已经推出了补丁来保护iPhone 8及以后的设备,以及适用的ipad和Mac产品。修复也一直在进行发布(在新窗口中打开)用于Safari浏览器。但在Mac端,该公司只发布了macOS Ventura的补丁,而不是像Monterey或Big Sur这样的早期版本。目前尚不清楚零日漏洞是否会使这些软件版本陷入困境。
来更新(在新窗口中打开)你的iPhone,走吧设置>常规>软件更新.如果你开启了自动更新,设备也可以自动更新。这些补丁将通过iOS 16.4.1和iPadOS 16.4.1发布。
Mac用户可以更新(在新窗口中打开)到屏幕角落的苹果菜单图标,选择“系统偏好设置”,然后选择“软件更新”。该补丁将通过macOS Ventura 13.3.1发布。