漏洞概述
|
漏洞名稱
|
Apple多個產(chǎn)品高危漏洞
|
漏洞編號
|
QVD-2023-14375、CVE-2023-32434
QVD-2023-14376、CVE-2023-32439
|
公開時間
|
2023-06-21
|
影響對象數(shù)量級
|
萬級
|
奇安信評級
|
高危
|
CVSS 3.1分?jǐn)?shù)
|
7.8
|
威脅類型
|
權(quán)限提升
|
利用可能性
|
高
|
POC狀態(tài)
|
未公開
|
在野利用狀態(tài)
|
已發(fā)現(xiàn)
|
EXP狀態(tài)
|
未公開
|
技術(shù)細節(jié)狀態(tài)
|
未公開
|
利用條件:Apple WebKit任意代碼執(zhí)行漏洞:需要交互。
|
01 漏洞詳情
影響組件
Apple WebKit 是由蘋果公司開發(fā)的一款開源瀏覽器引擎,它是/ Safari 瀏覽器的核心組件,也被 Google、Adobe 等公司使用在其產(chǎn)品中。WebKit 引擎采用 C++ 語言編寫,支持 HTML、CSS、JavaScript 等 Web 標(biāo)準(zhǔn),并提供了高性能的渲染和布局引擎,能夠快速準(zhǔn)確地呈現(xiàn)網(wǎng)頁內(nèi)容。
漏洞描述
近日,奇安信CERT監(jiān)測到Apple官方發(fā)布了多個產(chǎn)品高危漏洞,包括Apple WebKit 任意代碼執(zhí)行漏洞(CVE-2023-32439)和Apple Kernel 權(quán)限提升漏洞(CVE-2023-32434)。鑒于這些漏洞影響范圍較大,且已發(fā)現(xiàn)在野利用,建議客戶盡快做好自查及防護。
漏洞名稱
|
漏洞描述
|
Apple Kernel 權(quán)限提升漏洞(CVE-2023-32434)
|
Apple Kernel 存在整數(shù)溢出漏洞,本地應(yīng)用程序可以利用該漏洞以內(nèi)核權(quán)限執(zhí)行任意代碼
|
Apple WebKit任意代碼執(zhí)行漏洞(CVE-2023-32439)
|
Apple WebKit 中存在類型混淆漏洞,遠程攻擊者可以誘騙受害者打開特制網(wǎng)頁觸發(fā)類型混淆錯誤,成功利用此漏洞可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
|
02 影響范圍
影響版本
Apple Kernel 權(quán)限提升漏洞:
iOS 15 < 15.7.7
iOS 16 < 16.5.1
iPadOS 15 < 15.7.7
iPadOS 16 < 16.5.1
macOS Ventura < 13.4.1
macOS Monterey < 12.6.7
macOS Big Sur < 11.7.8
watchOS 8 < 8.8.1
watchOS 9 < 9.5.2
Apple WebKit任意代碼執(zhí)行漏洞:
iOS 15 < 15.7.7
iOS 16 < 16.5.1
iPadOS 15 < 15.7.7
iPadOS 16 < 16.5.1
macOS Ventura < 13.4.1
其他受影響組件
無
03 處置建議
安全更新
目前,官方已發(fā)布漏洞修復(fù)補丁,建議用戶盡快更新。
04 參考資料
[1]https://support.apple.com/en-us/HT213814
[2]https://support.apple.com/en-us/HT213811