一、漏洞详情
WebKit是一个开源的Web浏览器引擎,苹果的Safari、谷歌的Chrome浏览器都是基于该框架来开发的。WebKit还支持移动设备和手机,包括iPhone和Android手机都是使用WebKit作为浏览器的核心。
Apple发布安全更新,修复了其iPhone、iPad和Mac产品中的一个任意代码执行漏洞(CVE-2023-23529),Apple表示该漏洞已发现被利用。由于WebKit存在类型混淆漏洞,可在未经身份验证的情况下通过诱使用户点击恶意制作的网页内容,可能导致目标系统崩溃或执行任意代码。
此外,本次更新还修复了Apple Kernel中的释放后使用漏洞(CVE-2023-23514),该漏洞可能导致以内核权限执行任意代码;以及Apple macOS Ventura中的信息泄露漏洞(CVE-2023-23522),该漏洞可能导致应用程序观察到未受保护的用户数据。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apple iOS和iPadOS < 16.3.1
Apple macOS Ventura < 13.2.1
注:已知该漏洞影响了iPhone 8及更新机型、iPad Pro(所有机型)、iPad Air第三代及更新机型、iPad第五代及更新机型、iPad mini第五代及更新机型、运行macOS Ventura 的Mac等。
该漏洞还影响了macOS Big Sur和 Monterey上的Safari 16.3.1。
三、修复建议
目前Apple已经发布了这些漏洞的安全更新,受影响用户可及时升级到最新版本。
链接:https://support.apple.com/zh-cn/HT201222