Apple 发布了 iOS、iPadOS、macOS、visionOS 及其 Safari 网络浏览器的安全更新,以解决两个被广泛利用的零日漏洞。
缺陷列举如下——
CVE-2024-44308 – JavaScriptCore 中的一个漏洞,在处理恶意 Web 内容时可能导致任意代码执行 CVE-2024-44309 – WebKit 中的 cookie 管理漏洞,在处理恶意 Web 内容时可能导致跨站点脚本 (XSS) 攻击 Cybersecurity iPhone 制造商表示,已分别通过改进检查和改进状态管理来解决 CVE-2024-44308 和 CVE-2024-44309。
目前对这一漏洞的确切性质知之甚少,但苹果公司承认,这两个漏洞“可能已在基于英特尔的 Mac 系统上被积极利用”。
谷歌威胁分析小组 (TAG) 的 Clément Lecigne 和 Benoît Sevens 被认为发现并报告了这两个缺陷,表明它们可能被用作高度针对性的政府支持或雇佣间谍软件攻击的一部分。
这些更新适用于以下设备和操作系统 :
iOS 18.1.1 和 iPadOS 18.1.1 – iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 7 代一代及更新机型,以及 iPad mini 第五代及更新机型
iOS 17.7.2 和 iPadOS 17.7.2 – iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代第 1 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini 第 5 代及更新机型
macOS Sequoia 15.1.1 – 运行 macOS Sequoia 的 Mac
visionOS 2.1.1 – Apple Vision Pro
Safari 18.1.1 – 运行 macOS Ventura 和 macOS Sonoma 的 Mac
到目前为止,苹果公司今年已解决了其软件中总共四个零日漏洞,其中包括在 Pwn2Own 温哥华黑客竞赛中展示的一个 ( CVE-2024-27834 )。另外三个于2024 年1 月和 3 月修复。
建议用户尽快将设备更新至最新版本,以防范潜在威胁。